추석 연휴 때 Award 롬바이오스에 감염되는 악성코드가 등장해서 놀라게(예상은 했지만) 했습니다.
http://www.symantec.com/connect/blogs/bios-threat-showing-again

추석 연휴 국내에도 새로운 마스터부트레코드(MBR)을 감염시키는 악성코드가 등장했습니다.

- MBR (Master Boot Record) 을 감염시키는 온라인 게임핵 악성코드 발견 (안철수연구소 대응팀 블로그, 2011년 9월 16일)
http://core.ahnlab.com/326

퇴근 시간에 해당 악성코드를 들어서 자세히 보지는 못했습니다.
(다른 분들이 이미 보셨다는...)

* 감염 확인

악성코드에 감염되면 마스터부트레코드가 변조되고 다음 파일이 생성됩니다.

- 윈도우폴더(보통 C:\Windows)\lpk.dll (다운로더 혹은 백도어 ?, 19,456 바이트)
- 윈도우 시스템 폴더 (보통 C:\Windows\System32)\halc.dll (lpk.dll과 동일)
- 윈도우 시스템 폴더 (보통 C:\Windows\System32)\Disksystem.exe (드롭퍼, 41,984 바이트)
- 윈도우 드라이버 폴더 (보통 C:\Windows\System32\drivers)\FileEngine.sys (드라이버, 14,592 바이트)

다운로드 기능이 있어 다른 파일이 추가로 생성될 수 있습니다.

간단한 확인방법은 시스템 폴더에 Disksystem.exe 존재하고 접근 할 수 없는 겁니다.


루트킷 탐지 프로그램인 GMER로도 확인 가능합니다.

GMER를 통해 검사

GMER를 통한 검사 결과. Disk 항목에서 의심스러움 발견



* 감염 증상

감염된 마스터부트레코드 내용입니다. 감염된 시스템으로 부팅해도 감염된 마스터부트레코드를 볼 수 있어 은폐기법은 사용하지 않는 걸로 보입니다.


다음 문자열에서 국내 유명 백신 프로그램 방해 기능이 존재하겠죠 ? 누군가 국내 사용자를 대상으로 제작했음을 알 수 있습니다.



하드디스크 빈 공간에 악성코드 코드 영역도 쓰여져 있는데 조금 묘한 느낌나네요.


0x9C로 XOR 연산해보면 원래 마스터부트 레코드 임을 알 수 있습니다.


복구 코드를 통해서도 알 수 있습니다.
(0x37 섹터를 읽어 0x9C 로 XOR 연산 후 재부팅합니다.)



* 수동복구

해당 악성코드를 수동조치 하기 위해서는 다른 매체로 부팅해서 정상 마스터부트 레코드의 암호를 풀어서 덮어써주면 됩니다. 하지만, 이 과정을 일반인이 하는건 거의 불가능합니다.

다음 방식으로 수동복구 가능합니다.

1. 윈도우 설치 CD로 복구

http://core.ahnlab.com/326


2. GMER 이용 후 FDISK /MBR

GMER를 실행하면 디스크에서 악성코드와 시스템이 후킹되었음을 알 수 있습니다.

후킹된 항목에 마우스 마우스 버튼을 누르면 복구 할 수 있습니다. 복구 후 악성코드가 생성한 파일을 삭제 할 수 있습니다.




윈도우 98 부팅 디스크가 있다면 FDISK /MBR로도 쉽게 제거 가능합니다.
하지만, 너무 옛날 프로그램이라 최근 마이크로소프트에서 제공하는 마스터부트레코드 재구성 프로그램 이용을 권장합니다. (프로그램 이름이 갑자기 기억 안나네요.)


 


안철수연구소에서는 현재 치료 백신을 제작 중입니다.

안철수연구소에서 전용 백신을 공개했습니다.
http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=106

* 향후 전망

부트킷(Bootkit)이라고 불리는 악성코드가 증가할 것으로 예상되었는데 이렇게 빨리 국내를 목표로 뿌려질지는 몰랐네요. 그리고, 아직 변조된 마스터부트레코드나 생성 파일을 숨기지 않지만 기능이 추가되면 사용자가 찾기 더욱 어려워 집니다.

백신 업체에서도 신입 직원들은 파일 형태의 악성코드만 분석해봤지 이런 형태는 본적이 없을테니 다시 10여년 전 처럼 부트 바이러스에 대한 교육을 해야 할지도 모르겠네요.

앞으로가 걱정입니다.


Posted by mstoned7

댓글을 달아 주세요

  1. 2011.09.17 01:11  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • mstoned7 2011.09.17 01:12 신고  댓글주소  수정/삭제

      죄송합니다. 회사 정책상 샘플을 제공해 드릴 수는 없습니다. 하지만, 조만간 보안업체들 사이에 샘플이 알려질테니 구할 수 있는 길도 넓혀 질 것으로 예상됩니다 ^^

      lpk.dll이 핵심 기능을 하는데 온라인게임 정보 탈취 기능은 없는 듯 하더군요. 다운로더 기능이 존재해서 받아오는 파일이 어떤건지 확인해 봐야 할 듯 합니다.

    • 2011.09.17 01:15  댓글주소  수정/삭제

      비밀댓글입니다

  2. mstoned7 2011.09.17 12:20 신고  댓글주소  수정/삭제  댓글쓰기

    바이토털 진단 현황입니다.

    http://www.virustotal.com/file-scan/report.html?id=247b45b12e0f5921dd08c2a1a8eb837dcd74c0bb9843e1d2c29621d2534bb988-1316037607

  3. 금정산 2012.09.10 15:54  댓글주소  수정/삭제  댓글쓰기

    쿨캣님
    이틀전에 인터넷 속도가 갑자기 느려지는바람에 뭔가 의심스러워서 어베스트 검사를 해봤는데요
    mbr:bootkor-b이 나와서 카스퍼스키 전용 백신으로 지웠습니다.

    재부팅 뒤에 다시 그 전용백신 검사하니깐 검사는 안되는데요
    다시 어베스트 전체검사를 하니까 다시 발견되는것 같습니다

    다른 방법들은 어려울것 같고
    쿨캣님이 언급하신 Gmer 을 이용해서 지워보려하는데요
    어떤걸 건드려야 할까요?