Bootkit이란?
Bootkit은 감염된 PC의 MBR(Master Boot Record,
PC가 부팅하는데 필요한 정보들이 저장된 물리적인 하드 디스크 영역, 512 바이트)을 조작하여 감염된 PC가 부팅 시 다른 악성코드를 생성하도록 해둔
악성코드를 의미한다.
Bootkit 분석정보
이번에 국내 침해 사이트를 통해서 유포되었던
Bootkit의 구조는 아래와 같다.
[그림 1] Bootkit 악성코드 구조
Bootkit은 감염된 PC의 MBR영역을 조작하여 백신에서 악성코드를 치료하더라도 부팅 시마다 계속 악성코드를 생성하도록 해두었다. 아래 [그림 2]참조
[그림 2] Bootkit 악성코드 실행구조
감염된 PC의 원본 MBR 영역을 암호화하는 과정을 살펴보면 아래와 같다.> 원본 MBR 암호화 작업
00401767 |> /8A0C18 /mov cl, byte ptr [eax+ebx] ; [eax+ebx]부터 1바이트씩 복사
0040176A |. |80F1 9C |xor cl, 9C ; 9C = 암호화 키
0040176D |. |880C18 |mov byte ptr [eax+ebx], cl ; 암호화된 cl로 덮어씀
00401770 |. |40 |inc eax
00401771 |. |3D 00020000 |cmp eax, 200 ; 200 = (Dec)512, 복사된 MBR영역
00401776 |.^\7C EF \jl short 00401767 ; 200이 될 때까지 반복하여 암호화함
위 루틴에 의해서 암호화된 감염된 PC의 원본 MBR은 아래 루틴을 통해서 하드 디스크의 물리적인 섹터 54번에 백업된다.
위 [그림 3]에서 맨 처음 8바이트는 암호화된 원본 MBR이 백업될 섹터 위치와 섹터 수를 의미한다.
• 0x000000001 = (Dec) 1, 섹터 수
Bootkit 치료
[그림 4] 전용백신을
사용한 Bootkit 진단 및 치료
* Halcbot 전용백신 다운로드
지금까지 국내 침해 사이트를 통해서 유포되었던
Bootkit의 특징 및 치료방법에 대해서 간단하게 살펴보았다.
이번 Bootkit의 사례에서 보았듯이 악성코드는
자신의 생존시간을 높이고 목적을 달성하기 위해서 다양한 방법을 사용하여 백신으로부터 치료를 어렵도록 하는 추세이기 때문에 악성코드 감염예방과 피해를
최소화 하기 위해서는 아래 사항을 반드시 준수해야 한다.
|
1. 윈도우 및
Adobe Flash Player 보안 업데이트 적용 2. 백신은 항상 최신으로 유지 및 주기적으로 검사 3. 웹 서핑 시 함부로 파일 다운로드 및 실행금지 4. 수상한 메일 및 쪽지 수신 시 열람하지 말고 삭제 |
'악성코드 정보' 카테고리의 다른 글
| QR 코드를 통해 감염되는 안드로이드 악성코드 발견 (2) | 2011.10.07 |
|---|---|
| MySQL 사이트에 삽입된 악성 스크립트 (0) | 2011.09.27 |
| 정보 수집 및 즐겨찾기를 변경하는 Android 악성 앱 站点之家 (1) | 2011.09.20 |
| MBR (Master Boot Record) 을 감염시키는 온라인 게임핵 악성코드 발견 (3) | 2011.09.16 |
| 악성코드가 존재하는 폴더명에 '.' 이 들어있는 형태 발견 (0) | 2011.09.16 |
댓글