루트킷 제거 Rootkit.Win32.TDSS.d

* How to remove malware belonging to the family Rootkit.Win32.TDSS
(http://support.kaspersky.com/downloads/utils/tdsskiller.zip)

* http://forum.kaspersky.com/index.php?showtopic=96916
(http://download.bleepingcomputer.com/sUBs/ComboFix.exe)


combofix.exe를 사용해서 해결. 몇 개의 파일이 삭제 되었다.  가상 시디드라이브인 데몬툴이 사용불가로 되었음. 그것 관련 파일이 감염되었거나, 치료를 위해 중지된 서비스가 다시 활성화되지 않은듯.

V3Lite 감지해내지 못함. 카스퍼스키 감지는 하나 치료는 안됨. combofix.exe의 치료과정을 보면 일반적인 백신 소프트웨어로는 치료 불가능일듯.

카스퍼스키 감지내용.

개체 : System Memory
바이러스 : Rootkit.Win32.TDSS.d


카스퍼스키 피씽사이트 차단내용.

차단루트킷때문인지, 피싱싸이트(http://mfdclk001.org)로 일정 주기로 접속됨. 치료후 증상없음. httP://zxclk9abnz72.com도 가끔 접속됨. 내용은 없고 백지 페이지인데, 기술적인 내용은 잘... 정확한 주소는 아래처럼 매우긴데, 뒤부분이 조금씩 바뀜.

http://mfdclk001.org /3kP0XBIE5N3q3do1Y2xrPTEuMyZiaWQ9OGQ4MzQxODgtMjNmNC00ODg3LTg3MTQtYjY0MjE2NzhlN2ZjJmFpZD0xMDAxMCZzaWQ9MCZyZD0yMy40LjIwMTA=06k

루트킷(Rootkit)은 어떤 시스템의 전능적(全能的) 관리자 계정(유닉스계 운영체제들의 root, 윈도우즈의 Administrator 등)으로서의 권한을 해당 컴퓨터의 주인 또는 정당한 관리자의 허락 없이 손에 넣기 위해 만들어진 소프트웨어(또는 그런 소프트웨어들을 한데 모아놓은 것)를 가리키는 말이다.

특징

• 여러 가지 종류가 있지만 침입자로 하여금 해당 시스템의 전능적 관리자 행세를 하며(또는 그보다도 위에서) 해당 시스템을 마음대로 주무를 수 있게 하는 역할을 하는 것은 매한가지다.
• 웹상에서 쉽게 구할 수 있다.
• 윈도우즈용, 맥 OS X용, 리눅스용, 솔라리스용 등 종류가 다양하다.
• 운영체제 형태에 따라 운영체제 내용을 바꾸기도 하고 스스로 장치 드라이버 또는 운영체제에 필요한 소프트웨어인 것처럼 속이기도 한다.
• 경우에 따라서는 심는 과정에서 그 컴퓨터의 하드웨어를 약간 손봐야 되기도 한다.
• 다른 파일 또는 소프트웨어와 엉키거나 안전한 소프트웨어인 것처럼 사용자를 속이기도 하며 다른 소프트웨어와 묶여 심어지는 루트킷도 있다.
• 으레 파일, 소프트웨어, 네트워크 연결, 메모리 일부, 레지스트리 일부 등을 숨김으로 보안체제가 알아채지 못하게 하며 경우에 따라서는 보안체제를 부수기도 한다.
• 트로이목마 및 뒷문(백도어)의 역할을 겸하는 루트킷도 있다.
• 알코올 120%, 데몬 툴을 포함한 일부 에뮬레이터 및 보안 소프트웨어처럼 '다른 시스템에 대한 공격용이 아닌' 루트킷도 있다.

걸어온 길

루트킷이라는 이름은 유닉스의 전능적 관리자 계정 이름이 루트(root)고 침입자로 하여금 이 루트를 사칭하게 한다고 해서 붙은 것이다. 최초의 루트킷은 1990년쯤 레인 데이비스(Lane Davis)와 릴레이 데이크(Riley Dake)가 만든 선OS(SunOS) 4.1.1용 루트킷이라고 알려져 있는데 이것은 벨 연구소(Bell Labs)의 켄 톰슨(Ken Thompson)이 캘리포니아의 네이벌 연구소(Naval Laboratory)와의 내기에서 이기기 위해 썼던 루트킷과 거의 동급이었고 그보다 더 일찍 나타났으며 매우 유명했다고 한다(그 때 켄 톰슨은 연구소로 간 유닉스 배포판 안에 담긴 C 컴파일러를 부숴버렸다고 한다). 그 이후 다른 운영체제들에 대해 쓸 비슷한 소프트웨어들이 계속 만들어졌으며 다른 소프트웨어를 심을 때 사용자도 모르게 함께 심기고 돌아가는 형태의 루트킷도 나타났다. 이후 2005년 소니 BMG(소니 뮤직 엔터테인먼트)가 자사에서 발매하는 음반에 윈도우즈용 루트킷을 담았다는 사실이 밝혀지고 논란이 된 이후 루트킷이라는 존재는 더 많은 사람들에게 알려졌으며 루트킷을 잘 알지 못하던 많은 사용자들이 루트킷을 경계하게 되었다.

일반적인 사용

• 루트킷이 심어진 시스템의 전능적 관리자 행세를 하며(또는 그보다도 위에서) 해당 시스템을 마음대로 주무른다(시스템 고장, 자료 빼돌리기 등).
• 루트킷이 심어진 시스템을 직접 공격하는 것이 아니라 전진기지로 삼아 해당 시스템에서 다른 시스템을 공격하기도 한다.
• 경우에 따라서는 별도의 프로그램을 곁들이기도 한다(패킷 스니퍼, 키로거, 서비스 거부 공격기, 스팸메일 뿌리개 등).
• 특정 자료(기밀문서 등)를 숨기는 데 쓰기도 한다.

종류

• 가짜 펌웨어: 특정 하드웨어 및 소프트웨어에 대한 펌웨어 또는 모듈로 위장해 침투하여 해당 펌웨어 및 소프트웨어에 대해 내용을 덧붙이거나 일부 내용을 바꿈으로 침입자가 쉽게 침투하여 해당 시스템의 전능적 관리자 행세를 하며 해당 시스템을 마음대로 주무를 수 있게 하는 종(種)으로 존 헤스만(John Heasman)이라는 사람이 ACPI 펌웨어 루틴과 PCI 확장 카드 ROM에 이 종의 루트킷을 심어놓고 그것이 얼마나 오랫동안 들키지 않고 일하는지를 선보인 바 있으며 1990년대 중반에는 그렉 호그룬드(Greg Hoglund)라는 사람이 윈도우즈 NT 4.0을 공격하는 루트킷을 만들기도 했다.

• 원래 운영체제를 가상화하는 종: 해당 컴퓨터의 부팅 과정을 바꾸어 컴퓨터 메모리에 먼저 들어가 있다가 부팅 과정에서 자신이 먼저 메인 운영체제로 작동되고 원래 운영체제를 '자신 안의 가상 운영체제'로 작동함으로 침입자로 하여금 원래 운영체제의 전능적 관리자 계정보다도 위에 군림하여 해당 시스템을 마음대로 주무를 수 있게 하는 종으로 마이크로소프트(Microsoft)와 미시간대학교(University of Michigan) 개발자들이 함께 만든 서브버트(SubVirt)가 대표적이며 블루필(Blue Pill)이라는 것도 있다.

• 파일 내용을 바꾸는 종: 특정 파일(특히 시스템 파일, 소프트웨어 엔진 파일 등)의 내용을 몰래 바꾸어 시스템이 침입자를 눈치채지 못하게 하는 종이다.

• 가짜 소프트웨어: 특정 소프트웨어(실행해도 안전한 것)의 실행파일로 위장해 있는 종으로 실행하는 순간 루트킷의 역할을 시작한다.

출처 = http://ko.wikipedia.org/wiki/%EB%A3%A8%ED%8A%B8%ED%82%B7