대량 스팸메일 발송하는 커널 스팸 봇 전용백신 배포

ASEC에서는 2009년 5월 초부터 대량의 스팸메일을 발송하는 스팸봇(SpamBot) 형태의 악성코드 감염 증상에 대해 지속적인 문의를 접수 받았다.

ASEC에서 이러한 문의를 조사 및 분석하는 과정에서 특정 드라이버(.SYS) 파일을 생성하여 윈도우의 커널 모드(Kernel Mode)에서 파일 시스템 드라이버의 IRP(I/O Request Packet)를 조작하여 자신을 삭제하지 못하도록 하는 악성코드 형태로 파악되었다.


이러한 형태의 악성코드들은 일반적으로 대량의 스팸메일을 외부로 발송하는 기능으로 인해 윈도우 시스템과 네트워크가 비정상적으로 느려지는 현상을 발생시키기도 한다.

현재 발견된 이러한 형태의 악성코드들로는 다음을 들수가 있으며 ASEC에서 배포하는 이번 전용백신을 이용해 다음의 악성코드들을 진단 및 치료 할 수가 있다.

 1. Win-Trojan/Rustock.Gen
 2. Dropper/Rustock.Gen
 3. Win-Trojan/Rustock


이번에 배포하는 해당 전용백신은 기존의 배포한 전용백신들과는 달리 다음의 특징을 가지고 있다.

1. 악성코드의 자기보호를 위해 생성한 커널 모드 스레드를 진단 및 치료
2. 은폐형 악성코드를 탐지하는 트루파인드(TrueFind) 기술을 이용하여 파일 진단 및 치료
3. 실행 중인 프로세스들에 존재하는 리모트 쓰레드를 진단 및 치료


아래 이미지와 같이 윈도우 정상 프로세스인 익스플로러(explorer.exe)의 다른 악의적인 스레드를 생성하여 기능을 수행한다.

이러한 기능으로 인해 해당 악성코드에 감염이 되면 다른 악성코드에 의한 2차, 3차 감염이 발생할 수 있으며 일반적인 방식으로 해당 악성코드를 탐지 및 치료를 하기가 쉽지 않다.


만약 자신이 사용하는 시스템에서 특별한 작업을 수행하지 않아도 시스템 및 네트워크 느려지거거나 네트워크 관리자로부터 대량의 네트워크 트래픽이 발생한다는 문의가 있을 경우에 해당 전용백신을 실행 시켜보는 것이 좋을 것이다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments