Smiscer Rootkit (Smiscer is also known as the ZeroAccess or Max++ rootkit.) Posted By ASEC , 2011년 10월 17일 1. 서론 과거 악성코드는 자신의 목적에만 충실했기에, 대체적으로 큰 어려움 없이 Anti-Virus 제품으로 쉽게 치료할 수 있었다. 안철수연구소의 DNA 진단방식 처럼 악성코드를 빠르게 탐지 할 수 있는 여러가지 기술들이 발전하면서, 사전 진단률이 높아졌다. 이에 따라 악성코드 제작자도 악성코드 제작 후 V3등의 백신으로 진단여부를 테스트 하는 등의 일련의 악성코드 Semi-QA (Test)과정을 거처 배포하며, 이를 우회하고 자신을 보호, 은닉하기 위한 악성코드로 발전 시키고 있다. 최근에는 Bootkit 처럼 감염된 PC의 MBR 영역을 조작하여 백신에서 악성코드를 치료하더라도 부팅 시마다 계속 악성코드를 생성하는 경우도 있었다. (자세한 내용은 : http://core.ahnlab.com/328 에서 확인할 수 있다.) 초기의 Smiscer 는 운영체제의 로드 된 드라이버 중에 하나를 타겟으로 정하여 감염을 시키고, 감염된 드라이버의 원본은 파일 볼륨을 하나 생성하여 그곳에 백업을 해두고 루트킷을 윈도우 하위 systemconfig 폴더에 생성 하는데, 이 루트킷이 파일 시스템을 가로채고 있기 때문에 감염 여부를 쉽게…
