-
TDL4 / TDL3 / TDSS / Alureon Rootkits / ZeroAccess Rootkit - 루트킷 치료PC and Mac 2011. 9. 14. 15:01
보안 소프트웨어가 접근하지 않는 디스크 영역에 스스로를 암호화해 저장하고 부팅 시점부터 동작하는 악성코드 프로그램들이 있습니다. 일단 감염되면 탐지도 어렵지만 유명 백신들이 (예: 노턴, 카스퍼스키, Eset 등) 설령 탐지를 해도 기존 백신엔진으로는 치료를 제대로 못하는 경우가 많습니다. 그러기에 감염전에 그나마 사전방어/차단 기능이 뛰어난 유명 백신들을 사용해야 하는 이유가 아닐까 합니다.
TDSS rootkits은 얼루리언(Alureon), TDL3, TDL4로 잘 알려졌는데 계속 진화(?)/변형이 제작되고 있다고 합니다. 보안 소프트웨어들이 이런 감염을 사전에 방어/차단하는게 일이지만 불행히도 이미 감염이 된 상태라면 전용툴을 사용하는게 좋습니다.
[참고. 영문 기사]
- There’s a Botnet Called TDL-4 That’s Virtually Indestructable
- The Worm, the Rogue DHCP, and TDL4
* 툴 사용결정과 사용상의 책임은 사용자에게 있습니다.
[Rootkit 치료 유틸리티]
* HitMan Pro를 제외하면 모두 무료툴 입니다.
* 개인적으로는 Kaspersky Labs TDSSKiller -> HitMan Pro 이 순서로 사용
* 루트킷 때문에 설치 된 악성코드까지 제거해야 할 경우가 있기에 루트킷 치료 후 Malwarebytes Anti-Malware(무료버전으로 설치)와 Kaspersky Rescue Disk(응급 복구 디스크)를 이용해서 Full Scan 해주는 것도 추천합니다.
Kaspersky Labs TDSSKiller - Kaspersky Labs에서 TDL4 / TDL3 / TDSS-family rootkits 제거를 위해 제공하는 무료 전용툴(32bit & 64bit Windows 모두 지원). TDSSKiller.exe 을 다운로드 받아서 실행하면 됩니다. TDSSKiller는 변종 루트킷에 대응해서 버전이 지속적으로 업데이트 되고 있습니다. 루트킷 치료 할 때 중요 시스템 파일을 건드리는 경우가 많아서 오진일 경우 무턱대고 치료 했다가는 부팅불가의 상태까지 갑니다. TDSSKiller의 경우 검사 후 정확한 진단명이 아니고 의심파일의 경우 일단은 삭제/치료 하지 마시길 바랍니다. 해당 의심파일을 백신업체에 보내 문의하거나 virustotal 같은 사이트에서 여러 백신엔진들 검사 결과를 비교해 보아야겠죠.Malware Zero Kit (MZK) 보조 악성코드 제거 스크립 도구 다운로드 - 배포 파일(MZK.ZIP)은 자동업데이트 기능이 있는 소프트웨어가 아닌 스크립 도구이기에 사용 할 때마다 재다운로드하여 가장 최근의 데이터베이스를 사용하는 최신 파일로 검사해야 합니다. 주로 '한국'을 타켓으로 하는 루트킷, 금융 악성코드, 악성 광고 소프트웨어에 특화 된 스크립 도구이기에 한국 웹사이트를 자주 방문하거나 한국내 사용자에게는 상당히 유용합니다. * 자세한 설명: 보조 악성코드 제거 스크립 도구 : Malware Zero Kit (MZK)
Malwarebytes Anti-Rootkit BETA - Malwarebytes Anti-Malware로 유명한 Malwarebytes에서 Rootkits 검사/제거에 특화 된 툴을 발표했는데 현재는 beta지만 그래도 평이 꽤 괜찮습니다.
GMER - Rootkits 검사/제거로 잘 알려진 프리웨어 입니다. 강력한 기능을 제공하지만 오진도 있을 수 있고 은폐된 파일이라고 모두 악성파일이 아니기에 정상적인 프로세스를 건드려 문제를 야기시킬 수 있기에 사용에 많은 주의를 요구합니다. 유용하지만 일반 사용자에게는 크게 추천하기는 힘든 툴. 잘 모르겠으면 탐지한 파일을 삭제전에 사용하는 백신업체에 보내는 것도 좋은 방법이겠죠.
ZeroAccess/Max++ rootkit remover - Webroot의 ZeroAccess rootkit 검사/제거 무료 전문 툴 입니다.
HitMan Pro - 30일간 무료로 사용 할 수 있습니다. 진단과 치료 모두 가능. Second Opinion Malware Scanner 라는 문구처럼 이 프로그램은 전용백신, 보안프로그램 (예: 노턴, 카스퍼스키등)과 함께 설치해서 사용해도 충돌의 위험이 없습니다. 용도 자체가 범용적인 백신의 기능보다 이런 부분에 특화되어져 있다고 생각하면 됩니다. TDL4 / TDL3 / TDSS-family rootkits등 여러 악성 rootkits 탐지/제거에 자주 언급 될 정도로 평이 좋죠. * 악성 코드 프로그램은 백신을 실행하지 못하게하기 때문에 감염 된 PC의 경우 Hitman Pro에서 Force Breach Mode를 사용하면 실행이 가능한 경우도 있습니다. 사용법은 Hitman Pro를 실행할 때 왼쪽 Ctrl-key 를 누르고 있으면 됩니다.
ESET Stand-alone malware removal tools - Olmarik TDL4, Sirefef (Zero Access rootkit) 경우 이곳에서 전용 치료툴을 다운로드 받을 수 있습니다.
Malwarebytes Anti-Malware - malware 제거툴. 한글을 지원하기 때문에 설치시 한글을 선택하면 모든 메뉴를 한글로 사용할 수 있어 편리합니다. 무료(Free) 버전은 실시간 감시 기능이 없기에 백신과 충돌 위험이 없습니다. 수동 검색 성능과 치료는 유료와 동일합니다.
[응급 백신/복구 무료 유틸리티]
Kaspersky Virus Removal Tool - Kaspersky Virus Removal Tool 2011 is freeware designed to scan and disinfect infected computers. 단일 파일로 설치 없이 실행해서 사용 할 수 있습니다. 실시간 감시 기능이 있는 백신 소프트웨어가 아닙니다. 보조적인 용도로 사용 할 수 있는 전문툴입니다.
Kaspersky Rescue Disk(응급 복구 시스템) - 바이러스 감염으로 PC가 부팅 불가시 혹은 부트 바이러스에 감염시 사용 할 수 있는 응급 복구 디스크 입니다. [링크] 사용 방법
'PC and Mac' 카테고리의 다른 글
노턴 인터넷 시큐리티 2012 기존에 사용하던 라이센스를 새로운 PC (하드웨어)로 이동 할 때 (0) 2011.09.17 MsMpEng.exe 높은 CPU 사용률 문제 해결방법 Microsoft Security Essentials (15) 2011.09.17 글자 입력시 노트북 터치패드(TouchPad) 문제? (1) 2011.09.13 노턴 인터넷 시큐리티 2012 (Symantec Norton Internet Security 2012) (0) 2011.09.08 노턴 인터넷 시큐리티 2011 (Symantec Norton Internet Security 2011) 이 설정을 Off로 변경 해볼까? 그리고 이것저것 (2) 2011.08.18