Smiscer Rootkit (Smiscer is also known as the ZeroAccess or Max++ rootkit.)

1. 서론
 


 과거 악성코드는 자신의 목적에만 충실했기에, 대체적으로 큰 어려움 없이 Anti-Virus 제품으로 쉽게 치료할 수 있었다. 안철수연구소의 DNA 진단방식 처럼 악성코드를 빠르게 탐지 할 수 있는 여러가지 기술들이 발전하면서, 사전 진단률이 높아졌다. 이에 따라 악성코드 제작자도 악성코드 제작 후 V3등의 백신으로 진단여부를 테스트 하는 등의 일련의 악성코드 Semi-QA (Test)과정을 거처 배포하며, 이를 우회하고 자신을 보호, 은닉하기 위한 악성코드로 발전 시키고 있다.

 최근에는 Bootkit 처럼 감염된 PC MBR 영역을 조작하여 백신에서 악성코드를 치료하더라도 부팅 시마다 계속 악성코드를 생성하는 경우도 있었다.
(자세한 내용은 : http://core.ahnlab.com/328 에서 확인할 수 있다.)

 초기의 Smiscer 는 운영체제의 로드 된 드라이버 중에 하나를 타겟으로 정하여 감염을 시키고, 감염된 드라이버의 원본은 파일 볼륨을 하나 생성하여 그곳에 백업을 해두고 루트킷을 윈도우 하위 systemconfig 폴더에 생성 하는데, 이 루트킷이 파일 시스템을 가로채고 있기 때문에 감염 여부를 쉽게 알 수 없다는 특징이 있다.

 Smiscer 악성코드는 ZeroAccess 또는 Zaccess 또는 Max++ 로 불리기도 하며,
2010년 1월경부터 제작/배포 된 것으로 보이나, 이 시점에서 국내에 큰 피해 보고는  없거나, 감염 기법과 은닉 상태로 본다면 그 존재를 확인하지 못하는 경우도 존재 했을 것으로 추정 된다. 이 후 Smiscer.C 변형에 대한 감염은 국내에서 보고되고 있다.

이번에 포스팅에서 소개하려는 악성코드는 자체보호 기능이 동작하는 Smiscer.C 이다.

2. Smiscer.C 악성코드


– 유포지 : //ya****************/install_flash_player.exe 

– 유포 파일명을 보면, flash player 인스톨 파일 처럼 사용자를 속이고 있다고 볼 수도 있다.

– 감염 시 아래와 같은 파일이 생성된다.

C:WINDOWS3842759408:254145562.exe (ADS 동작)
C:WINDOWS
assemblygac_msildesktop.ini

C:WINDOWSsystem32drivers***.sys (시스템 정상파일을 패치)

C:WINDOWS$NtUninstallKB1216$ (시스템 별 다름)
C:documents and settings[사용자계정]local settingsapplication data[시스템별 다름]X

– ADS(Alternate Data Stream) ?
(자세한 내용은 http://core.ahnlab.com/7 에서 확인 할 수 있다.)

– 감염 후 3842759408:254145562.exe 의 특정영역에 접근하게 되면, 접근한 프로세스를 강제로 종료하고, 권한을 변경 한다.

0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments