반응형
요즘 MBR 자주 보네 ㅠ.ㅠ 분석도 어렵고~ 이번 포스팅도 기록용이니~ 그냥 가벼운 마음으로 고고싱!!
지난 주 지X파일 사이트가 변조되어 유포 된 악성파일 중 MBR을 감염시키고, 정상파일인 imm32.dll 을 변조시키는 것이 확인되었다.
정상파일 변조내용은 다음에 다시 쓰기로 하고, 이번 포스팅에서는 MBR을 감염시켜 악성파일(lpk.dll)이 재생성 되는걸 막아보자.
우선 최초 악성파일이 실행되면, 다음과 같이 파일과 레지스트리가 생성된다.
- 파일
C:\Windows\System32\Disksystem.exe
C:\Windows\System32\Disksystem.exe
C:\Windows\System32\halc.dll
C:\Windows\System32\drivers\FileEngine.sys
C:\Windows\lpk.dll (악성파일 감염 후 재부팅 시, 변조 된 MBR에 의해 생성 됨, halc.dll 파일과 동일)
- 레지스트리
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DiskSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FileEngine
- 레지스트리
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DiskSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FileEngine
- 보안제품 프로세스 종료 기능
IRPro.exe
SpStart.exe
AYAgent.aye
AYServiceNT.aye
ALYac.aye
AYScan.aye
V3Svc.exe
V3SP.exe
V3Main.exe
V3PScan.exe
V3Medic.exe
V3LTray.exe
V3LSvc.exe
V3Light.exe
SgSvc.exe
NVCAgent.npc
NVC.npc
nsvmon.npc
Nsavsvc.npc
NaverAgent.exe
- MBR 변조 기능
1) 정상 MBR 섹터
2) 변조 된 MBR 섹터
섹터 5부터 DiskSystem.exe 일부 코드가 삽입되어 있고,
섹터 13~50까지는 Windows에 생성 할 lpk.dll 파일 전체가 통으로 삽입되어 있다.
섹터 13~50까지는 Windows에 생성 할 lpk.dll 파일 전체가 통으로 삽입되어 있다.
http://ok.hanan***.com/2011091**.jpg
http://ok.hanan***.com/2011091**.exe(imm32.dll 변조, 악성 dnetcom.dll 생성 <- 요건 차후 포스팅에..^^; )
http://ok.hanan***.com/bd.htm 국내 보안제품으로 대부분 다 탐지가 가능하지만, 악성파일에 감염 되면 보안제품 자체가 켜지지 않으니 안전모드로 부팅 후 치료하자.
안전모드로 부팅하는 방법은 [Tip]안전모드로 부팅하기 를 참고하시길!!
보안제품으로 악성파일을 모두 삭제하여도 "C:\Windows\lpk.dll" 파일이 계속 생성 될 것이다.
이유는 MBR 코드를 수정하지 않았기 때문이다.
그럼 지금부터 MBR를 복구하는 방법에 대해 알아보자.
복구방법에는 개인적으로 2가지의 방법을 설명해 줄 수 있다.
1) 윈도우CD를 이용한 윈도우 복구 콘솔로 MBR Fix 방법
2) 특정 프로그램으로 MBR Fix 방법
변조 된 MBR을 수정하는 방법은 윈도우 복구 콘솔(Windows Recovery Console)로 복구 시키는게 가장 확실 한 방법이다.
(하지만 이 방법은 윈도우CD가 있어야 한다는 단점이 있다...;; 대부분의 사용자들은 다 불법판을 쓰기 때문에 ㅋㅋ)
1) 윈도우 CD로 부팅이 되도록 바이오스를 수정한다.
2) 윈도우 CD로 부팅이 되면, 복구모드로 들어가기 위해 R키를 누른다.
3) 아래와 같은 화면이 나오면 1을 입력하고 엔터 후 "fixmbr" 입력 후 엔터
(윈도우 설치시 Administrator 암호를 설정했다면 암호를 치면되고, 안했다면 그냥 엔터)
4) 새로운 MBR을 만드시겠습니까? 메시지가 나오면 Y 누르고 엔터
5) 새롭게 마스터 부팅 레코드가 작성되었다는 메세지가 나오면, exit 입력 후 재부팅
두번째 방법으로는 프로그램을 이용하여 수정하는 방법이다.
여기서 소개 할 프로그램은 Kaspersky Lab 에서 제작 한 "TDSS rootkit removing tool" 이란 프로그램이다.
이 프로그램은 본디 TDSS를 탐지하기 위한 툴인데, TDSS가 MBR도 수정하기 때문에 MBR Fix 기능도 들어가 있는 듯 하다.
tdsskiller.zip사용방법은 간단하다. 첨부 된 파일을 실행하여 "Boot Sectors" 에 체크 후 스캔하면 된다.
그리고 감염 된 섹터가 확인 되면 Skip 을 눌러 "Restor" 시키면 된다. 그리고 재부팅!!
하지만 이 프로그램에도 단점은 있다. 해당 제품은 MBR 섹터만 수정하기 때문에 더이상 악성파일(lpk.dll)은 생성되지 않지만,
다른 섹터에 삽입 된 코드들은 수정하지 못한다;;
(개인적으로는 MBR 섹터만 수정해도 상관없다고 판단되기 때문에, 윈도우CD가 없으면 이렇게라도 쓰면 될 듯 하다.)
음...현재시간 새벽 5시 ㅡ.ㅡ;; 졸린 눈을 비비고~ 간단하게 쓰려고 노력했는데 ㅠ.ㅠ 먼가 깔끔하지가 않다..제길!!
'IT 보안소식' 카테고리의 다른 글
| 하나SK카드(HanaSK CARD), 고객정보 5만건 개인정보유출 사건(9월 19일) (2) | 2011.09.19 |
|---|---|
| 엔프로텍트(nProtect MBR Guard), MBR Guard의 차단능력은 얼마나 되는가! (2) | 2011.09.18 |
| 바이오스 루트킷(BIOS Rootkit), Mebromi(MyBios) Bios Rootkit + MBR infected (0) | 2011.09.15 |
| 애플(Apple), "고장 난 아이폰을 새폰으로 교환?" 애플사의 새로운 A/S 정책 변경사항 (0) | 2011.09.14 |
| 이스트소프트(ESTsoft), 더 편리한 인터넷 "줌닷컴(zum.com)" 베타테스트 종료 (0) | 2011.09.14 |
댓글