새로 추가된 Storm 웜 변형입니다.
http://www.asiatoday.co.kr/news/view.asp?seq=63746


아마 Storm 웜에 대해 들어본 적이 있습니까? 아마도 국어를 애용하는 사람이라면 잘 모르는 경우가 대부분입니다. 이 웜은 주로 제목에 중요한 사실/뉴스 등을 담은 스팸 메시지를 통해 전염되지만 영어인 관계로 한국 환경에서는 그리 크게 주목을 받지 못하였습니다.

잠시 이 웜에 대해서 소개해 드립니다. Storm 웜은 지난 1월 달에 최초 발견된 것으로 알려지고 있으며, 주로 영어권 국가인 유럽쪽에 많이 감염되었습니다. 특히, Storm 웜은 스팸 메시지의 제목에 "230 dead as storm batters europe"와 같이 중요한 뉴스거리 즉, 낚시질 제목으로 많은 사람들이 감염되었습니다. 2월 달에는 발렌타인 데이에 관해서, 최근 3월에는 제 3차 세계 대전에 대한 소식으로 한번 더 전세계적으로 전파가 되었습니다.

이 스팸 메시지의 형태는 다음과 같습니다.

제목
Worm Detected!
Virus Detected!ected!
Virus Activity Detected!
ATTN!
Spyware Alert!
Spyware Detected!
Warning!
Trojan Alert!
Trojan Detected!
Worm Activity Detected!
Virus Alert!


본문

From: Customer Support

Dear Customer,
Our robot has detected an abnormal activity from your IP address on sending e-mails.

Probably it is connected with the last epidemic of a worm which does not have official patches at the moment. We recommend you to install this patch to remove worm files and stop email sending, otherwise your account will be blocked. We had archived the patch because the worm can modify unpacked exe files. You should open the archive file, enter the password and run the patch immediately.

Password: {Random}

Customer Support Center Robot.

Attachment: Patch-{Random}.zip


첨부 파일
 보통 2개의 첨부파일을 포함하고 있습니다. 하나는 일반 그림 파일(*.gif)이고 나머지 하나가 비밀번호로 압축된 zip 파일입니다. 보통 다음의 이름을 가집니다.
patch-[RANDOM 4 DIGITS].zip
removal-[5 RANDOM DIGITS].zip
hotfix-[5 RANDOM DIGITS].zip
bugfix-[5 RANDOM DIGITS].zip

Stom 웜이 새롭게 선보인 기술이 바로 이 비밀번호로 보호하는 zip 파일입니다. 첨부 파일의 비밀번호는 글자와 숫자로 섞여 랜덤하게 조합됩니다. 물론, 이메일에는 비밀번호가 포함되어 있어 쉽게 알 수는 있습니다.

만약 zip 파일에 비밀번호를 넣어서 열어서 실행을 하면, Storm 웜을 PC에 설치하고 바이러스 스캐너로부터 자신을 보호하기 위해 루트킷을 이용하여 숨깁니다. 루트킷에 사용되는 대표적인 파일은 wincom32.sys이고 다음과 같이 루트킷 탐지 프로그램을 찾아 낼 수 있습니다.


루트킷 구성요소

SSDT
ZwEnumerateKey
C:\WINDOWS\system32\wincom32.sys

SSDT
ZwEnumerateValueKey
C:\WINDOWS\system32\wincom32.sys

SSDT
ZwQueryDirectoryFile
C:\WINDOWS\system32\wincom32.sys

IRP
\Driver\Tcpip->IRP_MJ_DEVICE_CONTROL
\\??\C:\WINDOWS\system32\wincom32.sys


대부분의 안티 바이러스 프로그램에서는 이러한 탐지 기술을 가지고 있지 않기 때문에 알아 내기가 그리 쉽지 않습니다. 하지만, 안티루트킷 프로그램을 이용하여 손쉽게 알아 낼 수 있습니다. 참고로, 첨부파일 중 하나를 분석해 놓은 자료를 참고하시기 바랍니다.


마무리
아직 국내에는  대부분 바이러스 백신, 악성코드 프로그램만 알고 있을 뿐, 루트킷에 대해 그리 많은 정보가 알려져 있지 않습니다.  이제부터는 안티 바이러스 제품과 함께 안티 루트킷 제품을 사용하여 정기적으로 감염 여부를 검사하길 추천합니다.

AVG Anti-Rootkit 프로그램 다운로드

자료: Antirootkit.com
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    백신업체로 유명한 판다에서 루트킷 프로그램을 진단 치료할 수 있는 Panda Anti-Rootkit을 출시하였습니다. 특징은 다음과 같습니다.

    • 숨겨진 드라이버
    • 숨겨진 프로세스
    • 숨겨진 모듈
    • 숨겨진 파일
    • 숨겨진 레지스트리 항목
    • SDT 변경 사항
    • EAT 후크
    • IDT 변경 사항
    • 비표준 INT2E
    • 비표준 SYSENTER
    • IRP 후크
    • 기타 등등
    사용방법은 아주 간단합니다. 아래의 링크에서 다운로드하여 실행하면 그래픽 인터페이스로 손쉽게 진행할 수 있습니다.

    1. 프로그램을 다운로드하여 실행합니다.(프로그램을 실행하기 전에, 다른 프로그램은 모두 종료하는 것이 좋습니다)

    2. 프로그램이 최신 버전인지 확인합니다.
    사용자 삽입 이미지


    3.  최신 버전이 있는 경우에는 다운로드를 받습니다.
    사용자 삽입 이미지

    4. 모두 다운로드 받고, 저장하여 정상적으로 실행되면, 다음 그림과 같이 Start Scan을 클릭하면 검사가 진행됩니다.
    사용자 삽입 이미지

    5.  검사가 진행되는 상황입니다.
    사용자 삽입 이미지

    6. 발견된 루트킷은 Remove Rootkits 버튼을 눌러 삭제합니다.
    사용자 삽입 이미지

    출처: http://research.pandasoftware.com/blogs/research/archive/2007/04/02/Panda-AntiRootkit-Released.aspx
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      AVG 안티 루트킷 베타(http://blog.softmail.co.kr/109) 소식에 이어, 드디어 정식으로 발표가 되었습니다. 정식 이름은 AVG Anti-Rootkit Free(안티루트킷 프리에디션)으로 결정되었으며, 제품에 대한 자세한 정보를 알려 드립니다.

      참고로, AVG 안티루트킷은 컴퓨터에 무단 설치되는 루트킷을 감지하고 치료하는데 탁월한 성능을 자랑하는 프로그램입니다. 이 프로그램은 바이러스/웜/트로이 목마에 대한 진단 및 치료 기능을 제공하지 않고 있으며, 이러한 진단 및 치료는 AVG 안티바이러스, AVG 안티-말웨어와 같은 제품에서 효과적으로 해결할 수 있습니다. 물론, 다양한 경로로 유입되는 바이러스/웜/악성코드 를 효과적으로 커버하는 토탈 솔루션으로는 AVG 인터넷 시큐리티 제품을 추천해 드립니다.


      특징
      • 고급 치료 드라이버 채용으로 인한 강력한 치료 성능
      • 사용하기 쉬운 인터페이스
      • NTFS, ADS까지 지원하는 빠르면서도 강력한 진단 성능
      • 감염된 사항을 사용자에게 효과적으로 보여주는 인터페이스 지원

      하드웨어 요구사항
      • Windows 2000/XP 32비트 전용
      • 영어 전용

      기술 지원
      • 제공되지 않음

      라이선스
      • 무료 프로그램으로 사용상 제한이 없음
      • 라이선스 승인 후, 사용이 가능
      • 하드웨어 번들, OEM, 기타 다른 방법으로 배포할 수 없음

      다운로드

      관련 페이지
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요

        1. Favicon of http://poem23.com BlogIcon 학주니 2007.04.12 20:08  댓글주소  수정/삭제  댓글쓰기

          저도 AVG를 사용하다가 이번에 AVS로 바꿨습니다. ^^;
          비슷한 글을 써서 트랙백 날려봅니다.



        Web Analytics Blogs Directory