MBR Rootkit을 설치하는 악성코드.

[공부] 악성코드 분석 2008.01.18 10:52
최근에 MBR 영역을 덮어쓰기 형식으로 수정하여 운영체제가 로딩이 채 끝나기도 전에
악성코드가 동작하기 시작하여 루트킷을 설치하는 악성코드가 등장했다.
(아니.. 예전부터 있었나.. 부트 바이러스는 있었던것으로 생각되지만 그것을 이용하여 루트킷을 설치하는건 못본듯 하다)

참고자료 : http://www2.gmer.net/mbr/

여하튼 해당 동작을 하는 악성코드 샘플을 수집하게 되어 분석을 하는데
디스어셈한 코드가 엉망이다..
한줄 실행하고 점프 한줄 실행하고 점프 이런식이다.
이건 뭐 분석하다가 죽으라는 건지.. ㅠ_ㅠ)

모니터링 프로그램을 이용해서 동작은 확인했으나
WriteFile을 이용해서 디스크 섹터에 바로 데이터를 쓰는 방법을 역으로 좀 알아내려 했더니 쉽지가 않다.. ㅠ_ㅠ)

게다가 사용하는 API들을 Import Table에 넣어둔게 아니라
LoadLibraryA, GetProcAddress 의 조합으로 실행시간에 가져오는 방식을 사용한다.

여튼 이런 악성코드는 어떻게 분석해야 할지 좀더 연구해봐야겠다 +ㅅ+
신고


티스토리 툴바