이번 블랙햇 2009(Black Hat 2009)에서는 새로운 부트 감염 악성코드가 등장했습니다.
- 바이러스는 아니고 트로이목마입니다.

2009년 8월 12일 맥아피는 아래와 같이 경고했네요.

- StonedBootkit.dr
http://vil.nai.com/vil/content/v_200078.htm

[관련기사]

- Bootkit bypasses hard disk encryption
http://www.heise.de/english/newsticker/news/142881

파일에 대한 V3 진단명은 Win-Trojan/Stoned.329216 입니다.
다른 이름은 StonedBootkit.dr, Boot.Stonedbootkit, Rootkit.Win32.Stoned.a 등입니다.


* 부트 악성코드의 부활

1986년 브레인 바이러스(Brain virus)가 최초로 등장했고 1988년 부터 전세계를 강타했습니다.
이때 부트 바이러스가 선두에 있었는데...

부팅시 1/8 확률로 Your PC is now Stoned! (너의 컴퓨터는 대마에 취했다 ! - Stoned는 술/약물에 취하다라는 속어인데 대마초를 합법화하라는 문자열도 있기 때문에 대마에 취하다라고 할 수 있겠죠.)을 출력하는 뉴질랜드 고등학생이 만든 Stoned 바이러스도 전세계적으로 퍼졌습니다

제작자는 Stoned 바이러스를 기념하는 의미로 다시 Your PC is now Stoned! .. again 를 추가한 것이죠.




이런 부트 감염 악성코드는 계속 발전하고 있습니다.


* 분석

이는 7.7 DDoS 공격에 사용된 악성코드 중 하드디스크 데이터를 파괴하는 악성코드가 사용한 윈도우 실행 파일에서 부트 섹터에 접근하는 방식을 이용하고 있습니다.

상세 분석을 해봐야겠지만 실행되면 부트 섹터를 읽기/쓰기로 엽니다.
그후 다음 디렉토리를 만듭니다.

C:\Stoned
C:\Stoned\Applications
C:\Stoned\Drivers
C:\Stoned\Plugins

원래 부트 레코드를 백업 후 다음 파일을 생성합니다.

C:\\Stoned\\Applications\\Forensic Lockdown Software.sys
C:\\Stoned\\Applications\\Hibernation File Attack.sys
C:\\Stoned\\Applications\\Sinowal Loader.sys
C:\\Stoned\\Applications\\Windows.sys
C:\\Stoned\\Drivers\\Sinowal.sys
C:\\Stoned\\Drivers\\Sinowal Extractor.sys
C:\\Stoned\\Drivers\\Black Hat Europe 2007 Vipin Kumar POC.sys

이후 마스터 부트 레코드(Master Boot Record)를 조작 한 후 새로운 부트 레코드를 씁니다.

실행 된 후에는 'Written successful' 메시지 창이 뜹니다.

설치된 드라이버 파일은 더 분석해봐야 할 겁니다
- 그러기에는.. 드라이버쪽을 더 공부해야겠다는.. @.@


* 전망

윈도우 시대가 열리면서 부트 바이러스는 사라졌는줄 알았는데 여러 제작자들이 부트 감염 악성코드를 무덤에서 부활시키고 있네요.

다시 복고풍(예전과는 분명 다르지만)으로 돌아가는게 아닐까하는 걱정도 해봅니다.
하지만, 부트 섹터, 드라이버 제작 등 일반 실력을 가진 악성코드 제작자가 제작하기에는 어려움이 있습니다








Posted by mstoned7

댓글을 달아 주세요

  1. viruslab 2009.08.17 08:27  댓글주소  수정/삭제  댓글쓰기

    시만텍은 7월말에 보고했었지요.

    http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-072815-0454-99

    http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-072815-0036-99