0x06 vulnerability2011.04.06 17:36











중국 성인사이트에서 유포된 다운로더에 의해 설치된 bootkit이 발견되었다고 합니다.
Kaspersky에서 Rootkit.Win32.Fisp.a 라는 이름으로 탐지된다고 하네요.

보통 MBR 루트킷들이 하는 행동을 그대로 하구요
fips.sys 시스템 드라이버를 루트킷 자신의 드라이버로 대체하고 로딩된 프로세스들을 스캔하여 AV가 있는지 찾는다고 합니다.

대상이 되는 AV 제품은 다음과 같습니다.

Beike
Rising
360
Kingsoft
Keniu Network technology
Beijing Jiangmin or Qizhi Software (여기까지 중국 제품)
AVG
BitDefender
symantec
kaspersky
ESET

루트킷은 악성코드를 배포하는 플랫폼으로 쓰이고 explorer.exe 프로세스를 후킹해서 원격 서버와 통신할 다운로더 컴포넌트를 삽입하고 다운로더 컴포넌트는 Trojan-Dropper.Win32.Vedio.dgs와 Trojan-GameThief.Win32.OnLineGames.boas라는 탐지명으로 명명된 악성코드들을 다운로드합니다.

눈치채셨겠지만 다운로더가 다운로드하는 악성코드는 게임 패스워드 스틸러입니다.



코드게이트 트레이닝코스에서 FSK의 노용환 팀장님이 강의하셨던 MBR Rootkit이 생각나는군요.
(재미는 있었는데 중반부터는...ㅜ.ㅜ)




Posted by demantos

댓글을 달아 주세요