겐도사마 공식 블로그

Posted
Filed under 개발&Development/보안
어제 N사이트에서 모병원 관련 기사 읽다가 걸려버린 백도어임다. Kaspersky를 쓰고 있었는데 이놈은 엉뚱한 짓만 해서 겨우 고쳤네요. iframe 버그를 이용해서 걸렸습니다. 모든 업데이트에 실시간 풀옵션을 쓰고 있는 저도 걸린걸로 봐서 XP SP2급은 적어도 다 뚤리나 봅니다. 백신의 종류에 따라 막을 수도 아닐 수도 있습니다.

증상
Kaspersky는 backdoor.win32.agent.air라는 바이러스가 걸렸다고 system32 폴더의 norton.sys를 지목. 이것은 시스템 마다 다를 수 있을 것 같습니다. 허나 실제로 그 파일은 없습니다.
이것이 부팅할때 마다 혹은 주기적으로 이 경고가 발생.

조사
system32 폴더에 뭐가 있겠지 하고 봤더니 rund1132.exe 파일 발견. (운이 좋았습니다;;) rundll32.exe의 페이크죠. 생성날짜마저 조작되어 있기 때문에 찾기 어려웠습니다.
시작개체중에 avp로 등록. avp는 보통 백신들이 실시간 감시용도로 사용하는 이름입니다. 저의 경우 레지스트리 Run쪽에 있더군요.
아니나 다를까 프로세스 리스트에도 저놈이 있었습니다.

대충 짐작
백신 탐지 회피기술이 적용되어 있는 것 같습니다. 방금 업데이트한 Kaspersky로는 아직도 어쩔 수 없습니다. 백신에게 거짓 정보를 흘리고는 자신은 계속 활동하는 것 같습니다. 전문가는 아니니 더 조사는 못해보겠지만...

처리방법
작업관리자에서 rund1132.exe 종료. 파일 삭제. 시작개체에서도 제거.
현재까진 별 징후 없음.

PS.
역시 대놓고 백신 공격해 버리는 바이러스엔 백신도 어쩔 수 없군요. 금방 패치가 나오려나?
2007/04/04 11:22 2007/04/04 11:22
문스랩닷컴

요즘 그거 걸리는 사람이 많더라구요.

이제 진단이 많이 될겁니다. ㅎㅎ

메데이아

저랑 똑같은 바이러스에 걸리셨군요. (저는 오늘자로 걸렸습니다)
저도 N사이트에서 모병원기사 읽다가 걸려버렸습니다.

저도 카스퍼스키를 쓰고 있는데..
아주 똑같은 양상이예요. 일단 system 32폴더에는 아직 rund1132.exe파일은 발견이 안됐거든요.
제가 사전방역장치를 켜놨어서 다 차단시키거나 격리시키고 rund1132도 프로세스를 종료해서 성공했다고는 하는데..
완전히 처치했는지는 잘 모르겠어요. 혹시라도 제 댓글 보시면 어떤 과정으로 그 바이러스를 처치시켰는지 자세히좀 알려주시길 바랍니다.

겐도

이름은 계속 바뀔 것입니다. 레지스트리 Run 쪽에서 이상한 이름의 시작프로그램을 찾아 보세요. Kaspersky를 속이는 기능이 있는 것 같습니다.
아.. 감염된 상태에서는 부팅될때마다 없는 파일이 바이러스 걸렸다고 합니다. 혹은 그사이에 캐스퍼 업데이트 되어서 제대로 잡을지도 모르겠군요.

마주보면

위에 말씀하신분 처럼 저도 요즘 화제가 되고 있는 여중생 수술중 사망사건 뉴스보러 데일리*****에 갔다가 덜컥 걸렸어요. 카스퍼스키는 norton.sys 어쩌고 하는데 작업관리자 프로세스에 안보이던 rund1132란게 보이던군요. 이거 말고도 다른 것들도 잡히길레 오늘 저녁내내 이거 붙잡고 씨름했더니 맥이 다빠지네요.

cat

대단한 정보 감사합니다!!!!!!!
덕분에 컴퓨터가 다소 살아났어요 ㅠㅠ (감격)