보안

“루트킷 감염, 윈도우 재설치 필요”

Gregg Keizer | Computerworld 2011.06.28
마이크로소프트는 시스템의 부팅 섹터에 숨어 있는 새로운 루트킷에 감염되면 윈도우 사용자들은 운영체제를 재설치해야 한다고 밝혔다.  

MMPC(Microsoft Malware Protection Center)의 엔지니어인 청 펑은 지난주 그룹 블로그에서 “마이크로소프트는 새로운 변종 트로이를 ‘Popureb’이라고 부르고, 그것을 근절하는 유일한 방법은 구성과는 별도로 윈도우 되돌리는 것”이라고 언급했다.  

펑은 “만약 시스템이 Trojan:Win32/Popureb.E에 감염됐다면, 마이크로소프트는 MBR(Master Boot Record)을 고정하고, 그 다음 감염된 상태에서 시스템을 복원하기 위한 복구 CD를 이용하라고 조언한다”고 말했다.

이 복구 디스크는 윈도우를 출시 초기 설정으로 만든다.

Popureb와 같은 악성 프로그램은 하드드라이브의 MBR의 첫 번째 섹터인 섹터 0을 덮어쓴다. 섹터 0은 컴퓨터 BIOS가 체크하기 시작한 후, 부트 스트랩 OS를 저장하고 있다. 루트킷은 MBR에 숨기 때문에, 운영체제와 보안 소프트웨어 모두에 띄지 않게 하는 것이다.

펑은 “Poureb은 MBR를 겨냥해 쓰기 작동을 탐지하고 그리고 이후 읽기 작동에서 쓰기 작동으로 옮겨 바꾸면 된다”고 말했다.

작업이 성공한 것처럼 보일 수 있지만, 새로운 데이터는 실제로 기록되지 않는다. 즉, 크리닝 프로세스가 실패할 것이다.  

펑은 MBR 수리 지침으로, XP, 비스타, 윈도우 7의 링크를 제공하기도 했다.  

루트킷은 종종 은행 비밀 번호를 훔치는 트로이같이 악성 코드를 숨기며, 공격하기도 한다. 이는 윈도우의 새로운 현상이 아니라는 것을 명심해야 한다.  

실제로 2010년 초에, 마이크로소프트는 감염된 윈도우 XP 시스템과 마이크로소프트 보안 업데이트 후에 기기를 무력화하는 Alureon이라고 불리는 루트킷과 씨름하기도 했다.  

당시 마이크로소프트의 조언은 현재 펑이 Popureb에 대응하는 것과 유사했다.

2010년 2월에 MSRC(Microsoft Security Response Center)의 책임자인 마이크 리비는  “만약 고객이 그들이 선택한 안티바이러스나 안티악성코드 소프트웨어를 사용해 Alureon 루트킷을 제거하는 것을 확실히 하지 않았다면, 가장 안전한 추천 방법은 소유주가 중요한 파일을 백업하고 완전히 깔끔하게 포맷된 디스크에서 시스템을 복원하는 것을 추천한다”고 말했다.

이후로, 악성코드가 발견됐을 때 마이크로소프트는 모든 보안 업데이트에 Aluereon 루트킷에 대한 검사를 추가했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.