어제 N사이트에서 모병원 관련 기사 읽다가 걸려버린 백도어임다. Kaspersky를 쓰고 있었는데 이놈은 엉뚱한 짓만 해서 겨우 고쳤네요. iframe 버그를 이용해서 걸렸습니다. 모든 업데이트에 실시간 풀옵션을 쓰고 있는 저도 걸린걸로 봐서 XP SP2급은 적어도 다 뚤리나 봅니다. 백신의 종류에 따라 막을 수도 아닐 수도 있습니다.
증상
Kaspersky는 backdoor.win32.agent.air라는 바이러스가 걸렸다고 system32 폴더의 norton.sys를 지목. 이것은 시스템 마다 다를 수 있을 것 같습니다. 허나 실제로 그 파일은 없습니다.
이것이 부팅할때 마다 혹은 주기적으로 이 경고가 발생.
조사
system32 폴더에 뭐가 있겠지 하고 봤더니 rund1132.exe 파일 발견. (운이 좋았습니다;;) rundll32.exe의 페이크죠. 생성날짜마저 조작되어 있기 때문에 찾기 어려웠습니다.
시작개체중에 avp로 등록. avp는 보통 백신들이 실시간 감시용도로 사용하는 이름입니다. 저의 경우 레지스트리 Run쪽에 있더군요.
아니나 다를까 프로세스 리스트에도 저놈이 있었습니다.
대충 짐작
백신 탐지 회피기술이 적용되어 있는 것 같습니다. 방금 업데이트한 Kaspersky로는 아직도 어쩔 수 없습니다. 백신에게 거짓 정보를 흘리고는 자신은 계속 활동하는 것 같습니다. 전문가는 아니니 더 조사는 못해보겠지만...
처리방법
작업관리자에서 rund1132.exe 종료. 파일 삭제. 시작개체에서도 제거.
현재까진 별 징후 없음.
PS.
역시 대놓고 백신 공격해 버리는 바이러스엔 백신도 어쩔 수 없군요. 금방 패치가 나오려나?
증상
Kaspersky는 backdoor.win32.agent.air라는 바이러스가 걸렸다고 system32 폴더의 norton.sys를 지목. 이것은 시스템 마다 다를 수 있을 것 같습니다. 허나 실제로 그 파일은 없습니다.
이것이 부팅할때 마다 혹은 주기적으로 이 경고가 발생.
조사
system32 폴더에 뭐가 있겠지 하고 봤더니 rund1132.exe 파일 발견. (운이 좋았습니다;;) rundll32.exe의 페이크죠. 생성날짜마저 조작되어 있기 때문에 찾기 어려웠습니다.
시작개체중에 avp로 등록. avp는 보통 백신들이 실시간 감시용도로 사용하는 이름입니다. 저의 경우 레지스트리 Run쪽에 있더군요.
아니나 다를까 프로세스 리스트에도 저놈이 있었습니다.
대충 짐작
백신 탐지 회피기술이 적용되어 있는 것 같습니다. 방금 업데이트한 Kaspersky로는 아직도 어쩔 수 없습니다. 백신에게 거짓 정보를 흘리고는 자신은 계속 활동하는 것 같습니다. 전문가는 아니니 더 조사는 못해보겠지만...
처리방법
작업관리자에서 rund1132.exe 종료. 파일 삭제. 시작개체에서도 제거.
현재까진 별 징후 없음.
PS.
역시 대놓고 백신 공격해 버리는 바이러스엔 백신도 어쩔 수 없군요. 금방 패치가 나오려나?
'개발&Development > 보안' 카테고리의 다른 글
지름신 주의보 (0) | 2007.07.19 |
---|---|
해킹 주의보 (0) | 2007.05.09 |
주민등록번호, 최대의 위기 (10) | 2007.03.20 |
Variation of "Viagra" (0) | 2006.10.26 |
동영상 플레이어를 가장한 스파이 웨어 주의 (0) | 2006.08.28 |