Rustock 조치 가이드 (2) Posted By ASEC , 2009년 10월 28일 3. 증상 발생 시 조치방법 II : 수동조치 —————————————————————– 제품에서 진단되는 않는 경우, 아래 과정으로 수작업 조치를 통해 해결해야 한다. 1) GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행한다. 2) GMER 실행 시 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력되며, hidden으로 표시된 항목을 찾는다. Rustock 의심파일의 특징은 Hidden이면서 파일명이 숫자로 시작하며 영문/숫자 조합으로 생성된다. 3) 여기서는 System32drivers7f0ed690.sys 이며, Rustock의 경우 정상모드에서 삭제가 되지 않기 때문에 안전모드(네트워크 지원)로 부팅하여 조치해야 한다. * 안전모드 부팅 방법은 [안전 모드부팅 후 치료하기]글을 참조해 주시기 바랍니다. 4) 시스템을 안전모드(네트워크 지원)로 부팅한 후, GMER을 실행하여 등록한 서비스를 삭제한다. 5) 서비스 삭제 후 GMER의 [Files]탭을 선택하여 의심 파일이 위치하는 경로로 이동하여 해당 파일을 선택하여 [Kill] 한 다음, 수집을 위해…
은폐된 악성파일 수집 및 삭제 방법(Gmer) Posted By ASEC , 2009년 8월 24일 악성코드는 시스템에서 오랜기간 생존하기 위해 보안 제품에 탐지 및 제거되지 않으려 다양한 방법을 사용합니다. 이러한 방법중 루트킷(RootKit) 을 이용하여 파일을 은폐하는 방법이 있습니다. [루트킷(RootKit)] 시스템의 루트(Root) 권한을 얻는 도구(Kit), 루트킷을 사용하여 파일을 은폐하거나 쉽게 삭제할 수 없도록 할 수 있습니다. 은폐된 파일을 윈도우의 작업 관리자 창과 같이 일반적인 방법으로 확인할 수 없기 때문에 안티-루트킷 툴(Anti-RootKit Tool)을 사용해야 합니다. 이 글에서는 안티-루트킷 툴 중에서 GMER를 사용하여 은폐된 파일을 수집하고 삭제하는 방법에 대해서 알아보겠습니다. 시작에 앞서, 아래의 주소에서 GMER Application을 다운로드 하실 수 있습니다. [GMER 다운로드 안내] * GMER 공식 홈페이지 : http://www.gmer.net * GMER Application 다운로드 : http://www2.gmer.net/gmer.zip GMER을 실행시켰을 때 은폐된 파일이 존재할 경우 아래와 같은 메세지박스가 출력됩니다. 그리고 은폐된 파일은 빨간색 글씨로 출력됩니다. 아래와 같은 메세지박스가 출력되면 “아니오“를 클릭하고 계속 진행하겠습니다. 우선 상기의 빨간색으로 표시된 은폐된 파일은…
