TDL42 TDL4 코드 감염에 따른 부팅 시 재감염에 대한 분석 2011.11.14 안녕하세요. 안랩인입니다. 지난번 포스팅에서는 TDL4 부트킷의 유래와 배포 과정, 그 특징에 대해 알아봤습니다. TDL3와 TDL4 식별법 이번호에서는 TDL4 코드 감염에 따른 부팅 시 재감염에 대해 상세히 살펴보겠습니다. 지난번에도 살펴봤듯이, TDL4는 윈도우 비스타 이후 버전과 윈도우 XP, x64, x86에 따라 감염 루틴이 달라집니다. 하지만 실제 동작하는 드라이버의 코드는 사실상 같습니다(32비트 코드를 64비트 코드로 컴파일한 것처럼 보입니다). 따라서 악성 TDL4 드라이버의 기능은 같은 것으로 보입니다. 드라이버를 드롭하는 악성코드와 은폐 및 자기 보호, 감염된 MBR이 수행하는 기능에 대해 상세히 알아보겠습니다. 1. TDL4 드로퍼 TDL4 드로퍼(Dropper.. 2020. 4. 13. TDL3와 TDL4 식별법 2011.10.17 안녕하세요. 안랩인입니다. 안철수연구소는 2009년 하반기TDL3 루트킷(Rootkit)에 대한 분석보고서와 전용 백신을 배포한 바 있습니다. TDL3는 하드디스크의 언파티션드(Unpartitioned) 영역에 악성코드를 위치시켜 파일로의 존재를 감추는 주요한 특징과 시스템의 파일시스템 드라이버를 패치하여 안티바이러스 제품들로부터 자신을 보호하는 새로운 기법을 사용했습니다. 그 후로부터 몇 개월이 지나지 않아 새롭게 업그레이드된TDL4에 대한 해외 감염보고가 나오기 시작했습니다. TDL3와TDL4의 가장 큰 차이점은 시스템의MBR(Master Boot Record)을 감염시켜TDL4 루트킷을 자동 실행하게 하는 부트킷 기법이 추가되었다는 점입니다. 또한 윈도우 비스타 이후부터 적용된6.. 2020. 3. 29. 이전 1 다음
