간만에 루트킷 샘플을 발견.
오옷, 역시 일반 로그웨어 분석 보다는 꽤나 재미있다. '-')/
외국 동영상 컨텐츠를 제공하는 사이트에서 코덱 형태로 배포가 되며,
악의적인 행동은 IE와 탐색기를 띄우지 못하게 하고,
system 프로세스가 아래의 로그와 같이 쉬지않고 service key 등록을 한다. ;;
System:4 CreateKey HKLM\system\currentcontrolset\services\gaopdxserv.sys
System:4 CreateKey HKLM\system\currentcontrolset\services\gaopdxserv.sys\modules
일단 설치 로그중 일부를 보면,
[File]
spoolsv.exe:1688 WRITE C:\autorun.inf
spoolsv.exe:1688 WRITE C:\RECYCLER\S-0-4-96-100032557-100006457-100025371-4795.com
spoolsv.exe:1688 WRITE C:\WINDOWS\system32\drivers\gaopdxserv.sys
spoolsv.exe:1688 WRITE C:\WINDOWS\TEMP\tempo-600296.tmp
[Registry]
spoolsv.exe:1688 SetValue HKCR\coolplay\CLSID\(Default) SUCCESS "{6BF52A52-394A-11D3-B153-00C04F79FAA6}"
spoolsv.exe:1688 SetValue HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
spoolsv.exe:1688 SetValue HKLM\system\currentcontrolset\services\gaopdxserv.sys
위와 같이 프린터 관련 정상프로세스인 spoolsv.exe 를 이용하여 설치과정을 진행하는 것으로 봐서 모듈이 인젝션되어 있다는 것을 짐작할수 있다.
실제로 확인하여 보면,
위와 같이 이름부터 수상한 dll.dll 이 인젝션되어있었다.
IceSword로 모듈을 확인하고 제거해보자.
모듈 정보를 보면 역시나 정상 경로가 아닌 Temp 폴더의 tmp12,13 이 모듈로 동작하게 되는데 이를 Unload 시켜준다.
그러면, IE는 복구!!
또 위의 설치 로그에서 "gaopdxserv.sys" 가 설치되는것으로 봐서 서비스로 등록되어 동작되는것을 알수있다.
IceSword 로는 탐지가 되지 않았는데, 검색도중 IceSword 만큼 유용한 툴을 발견하였다.
"Gmer"라는 또 다른 루트킷 스캐닝 프로그램이다, 사용해보니 이게 또 엄청 강력한 툴이다.
암튼 Gmer를 이용하여 스캐닝,
역시나 gaopdxserv.sys 가 서비스로 등록되어 루트킷으로 동작하고 있었다, gaopdxxvejirke.dll 는 이 서비스가 올라갈때 로드하는 모듈인듯하다.
gaopdxxvejirke.dll 등 서비스가 동작하는데 필요한 파일들은 숨김기능이 있기때문에 탐색기로 봐도 보이지 않는다. 따라서 삭제가 불가능.
안전모드로 바꿔서 봤지만, 이 서비스는 올라가서 동작되고 있었다. ;;
삽질을 좀 해주시다가, Gmer 스캐닝 도중에 서비스를 disable 시키면 된다는걸 알게되었다. ;;;
이유는 잘 모르겠다, 뒷걸음치다 완전 뽀록으로 해결. ㅎㅎㅎㅎㅎ;;
암튼 disable 시킨뒤 재부팅을 해보면 gaopdxxvejirke.dll 등의 파일이 다시 보이게된다.
하지만, 또 다른 문제에 봉착했으니, ;;;
메인인 gaopdxserv.sys 가 보이지 않는것!! -.-;
이건 인터넷에서 발견한 '루트킷 파일을 보이게 하는 방법' 을 따라한 결과, 보이게되었다. ;;;
방법은,
C:\>dir /b /s /ah > c:\test\hiddenwinboot.txt
C:\>dir /b /s /a-h > c:\test\nohiddenwinboot.txt
이건데, booting에 사용되는 파일의 목록을 긁어오는것 같은데, 암튼 긁어보니 안보이던게 보이기 시작한다.
이것도 역시 이유는 잘...
긁어오면서 속성을 바꿔주나? ㅎㅎㅎㅎㅎ;;;
간만에 매우 재미있던 분석.
만든사람 ㄳ.