국내 PC 사용자를 대상으로 유포된 아두스카 부트킷 Posted By ASEC , 2012년 10월 22일 현재까지 PC의 MBR(Master Boot Record)를 변조하여 악의적인 기능을 수행하는 부트킷(Bootkit)은 러시아와 루마니아를 포함한 동유럽 지역에서 제작되어 유포 되는 사례가 다수를 차지하고 있다. 이러한 부트킷에 대해 ASEC에서는 관련 분석 정보들을 블로그들을 통해 공유한 바가 있다. 2011년 10월 – MBR을 변조하는 Halcbot 부트킷 상세 분석 10월 12일 국내 PC 사용자를 대상으로 유포된 부트킷 기능이 포함된 온라인 게임 관련 개인 정보를 탈취하는 악성코드가 발견되었다. 이 번에 발견된 부트킷 기능의 악성코드는 “해피투게더.exe (230,349,368 바이트)”라는 파일명을 가지고 있으며 200 MB가 넘는 큰 크기를 가지고 있다. 해당 악성코드가 동작하는 전체적인 구조를 정리하면 아래 이미지와 동일하다. 유포된 해피투게더.exe 는 실제로는 인스톨 기능을 가진 인스톨러(Installer) 파일로서 해당 악성코드에 감염이 되면 crvsv.exe 가 실행이 되며, 실제 해당 crvsv.exe가 MBR 감염과 함께 온라인 게임 관련 악성코드를 감염시키는 드로퍼(Dropper) 이다. 해당 crvsv.exe 악성코드느 다음의 악의적인 기능을 수행하게 된다. …
