Smiscer Rootkit (Smiscer is also known as the ZeroAccess or Max++ rootkit.)

1. 서론
 

---

 과거 악성코드는 자신의 목적에만 충실했기에, 대체적으로 큰 어려움 없이 Anti-Virus 제품으로 쉽게 치료할 수 있었다. 안철수연구소의 DNA 진단방식 처럼 악성코드를 빠르게 탐지 할 수 있는 여러가지 기술들이 발전하면서, 사전 진단률이 높아졌다. 이에 따라 악성코드 제작자도 악성코드 제작 후 V3등의 백신으로 진단여부를 테스트 하는 등의 일련의 악성코드 Semi-QA (Test)과정을 거처 배포하며, 이를 우회하고 자신을 보호, 은닉하기 위한 악성코드로 발전 시키고 있다.

 최근에는 Bootkit 처럼 감염된 PC의 MBR 영역을 조작하여 백신에서 악성코드를 치료하더라도 부팅 시마다 계속 악성코드를 생성하는 경우도 있었다.
(자세한 내용은 : http://core.ahnlab.com/328 에서 확인할 수 있다.)

 초기의 Smiscer 는 운영체제의 로드 된 드라이버 중에 하나를 타겟으로 정하여 감염을 시키고, 감염된 드라이버의 원본은 파일 볼륨을 하나 생성하여 그곳에 백업을 해두고 루트킷을 윈도우 하위 system\config 폴더에 생성 하는데, 이 루트킷이 파일 시스템을 가로채고 있기 때문에 감염 여부를 쉽게 알 수 없다는 특징이 있다.

 Smiscer 악성코드는 ZeroAccess 또는 Zaccess 또는 Max++ 로 불리기도 하며,
2010년 1월경부터 제작/배포 된 것으로 보이나, 이 시점에서 국내에 큰 피해 보고는  없거나, 감염 기법과 은닉 상태로 본다면 그 존재를 확인하지 못하는 경우도 존재 했을 것으로 추정 된다. 이 후 Smiscer.C 변형에 대한 감염은 국내에서 보고되고 있다.

이번에 포스팅에서 소개하려는 악성코드는 자체보호 기능이 동작하는 Smiscer.C 이다.



2. Smiscer.C 악성코드

---

- 유포지 : //ya****************/install_flash_player.exe 

- 유포 파일명을 보면, flash player 인스톨 파일 처럼 사용자를 속이고 있다고 볼 수도 있다.


- 감염 시 아래와 같은 파일이 생성된다.

C:\WINDOWS\3842759408:254145562.exe (ADS 동작) C:\WINDOWS\assembly\gac_msil\desktop.ini C:\WINDOWS\system32\drivers\***.sys (시스템 정상파일을 패치) C:\WINDOWS\$NtUninstallKB1216$ (시스템 별 다름) C:\documents and settings\[사용자계정]\local settings\application data\[시스템별 다름]\X

- ADS(Alternate Data Stream) ?
(자세한 내용은 http://core.ahnlab.com/7 에서 확인 할 수 있다.)

- 감염 후 3842759408:254145562.exe 의 특정영역에 접근하게 되면, 접근한 프로세스를 강제로 종료하고, 권한을 변경 한다.

 

 

[그림] 변경된 권한 정보

- 추후 실행이 불가능하며, 다음과 같은 오류 메시지가 발생 된다.

- 패치된 시스템 파일 정보

[그림] 변경된 버전 정보

3. 조치 방법

---

- 안철수연구소 홈페이지에서 제공하는 전용백신으로 검사/치료 한다.

- 전용백신 다운로드(클릭)

- 치료 후 에는 재부팅이 필요하다.

[그림] 전용백신 치료 후 재부팅

- 재부팅 후에는 V3 정밀 검사를 한다.

- 권한 복원 방법

 재부팅 후에 변경된 권한을 복원할때, [보안]탭이 보이지 않을 때는 아래와 같이 폴더 옵션을 수정 하여, 권한을 부여 한다.

[그림] 폴더 옵션 변경

4. 악성코드의 감염을 예방하고, 피해를 최소화 시키는 방법 !

---

1) 윈도우 보안패치를 항상 최신으로 유지한다.   - Microsoft : http://update.microsoft.com   2) 응용 프로그램 패치를 항상 최신으로 유지한다.   - Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash/   - Adobe Reader : http://www.adobe.com/go/getreader/  3) 신뢰할 수 없는 사이트 및 파일은 접근하지 않는다.  4) V3 제품을 설치하고, [환경설정] ASD 기능을 활성화 한다.   - ASD 기능 이란? (바로가기)  5) AhnLab SiteGuard 설치하여, 위험 사이트는 접근하지 않는다.   - AhnLab SiteGuard 설치하기 (바로가기)

- Anti-Virus V3