Rustock 조치 가이드 (2) Posted By ASEC , 2009년 10월 28일 3. 증상 발생 시 조치방법 II : 수동조치 —————————————————————– 제품에서 진단되는 않는 경우, 아래 과정으로 수작업 조치를 통해 해결해야 한다. 1) GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행한다. 2) GMER 실행 시 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력되며, hidden으로 표시된 항목을 찾는다. Rustock 의심파일의 특징은 Hidden이면서 파일명이 숫자로 시작하며 영문/숫자 조합으로 생성된다. 3) 여기서는 System32drivers7f0ed690.sys 이며, Rustock의 경우 정상모드에서 삭제가 되지 않기 때문에 안전모드(네트워크 지원)로 부팅하여 조치해야 한다. * 안전모드 부팅 방법은 [안전 모드부팅 후 치료하기]글을 참조해 주시기 바랍니다. 4) 시스템을 안전모드(네트워크 지원)로 부팅한 후, GMER을 실행하여 등록한 서비스를 삭제한다. 5) 서비스 삭제 후 GMER의 [Files]탭을 선택하여 의심 파일이 위치하는 경로로 이동하여 해당 파일을 선택하여 [Kill] 한 다음, 수집을 위해…
Rustock 조치 가이드 Posted By ASEC , 2009년 10월 22일 1. 증상 및 진단 확인 —————————————————————– 1) 방화벽 등의 보안장비에서 Remote 25번 포트로 트래픽을 발생시키는 시스템을 찾는다. 2) 감염이 의심되는 시스템에서 [시작] – [실행]에서 cmd.exe 를 실행 후, netstat –ano 명령으로 네트워크 연결을 확인한다. Rustock에 감염된 시스템은 Remote TCP 25번 포트로 SYN_SENT 증상을 발생시킨다. 아래와 같이 Ahnreport의 ‘네트워크 연결’ 항목에서도 확인이 가능하다. 2. 증상 발생 시 조치방법 I : 제품 —————————————————————– 제품에서 진단되는 경우 아래 과정으로 조치 수행해야 하며, 두 항목을 함께 진행할 것을 권고함 1) 만일, V3제품으로 진단되는 내용이 없을 경우, 정상모드로 부팅하여 안철수연구소 홈페이지를 통해 Rustock 전용백신으로 다운로드 받아 진단/치료를 수행한다. (전용백신 다운로드 경로 : http://download.ahnlab.com/vaccine/v3rustock_gen.exe) 2) Rustock의 경우, 진단 무력화 기법을 사용하기 때문에 시스템을 안전모드(네트워크 지원)로 부팅하여 설치된…
