MBR(Master Boot Record)에 은닉 기술을 이용하여 기생하는 Sinowal 악성 코드에 대한 새로운 변종(Backdoor.Win32.Sinowal)이 발견되어 이에 대한 정보가 공개되었습니다.

Sinowal 악성코드는 2008년도에 이미 초기 버전과 변형 버전에 대한 자료가 발표되었습니다.
  • http://www.viruslist.com/en/analysis?pubid=204792002
  • http://www.viruslist.com/en/analysis?pubid=204792044

2009년 3월 말 경에 발견된 Sinowal의 최신 변형 버전은 하드 디스크의 MBR 영역을 감염시키면서 감염 자체를 숨기는 루트킷 기술을 탑재하고 있습니다. 최신 변형 버전은 보안 전문가에게 충격을 주고 있는데 기존 버전과는 달리 감염여부를 보안 제품이 진단하지 못하도록 보다 시스템 내부에 숨깁니다. 특히 은닉(Stealth) 기술은 운영체제의 최하위 수준의 디바이스 객체를 후킹하는 것으로 사이버 범죄에서 이렇게 복잡한 기술을 사용한 첫번째 사례입니다.

물론 Backdoor.Win32.Sinowal이 처음 출현했을 때에는 이 악성코드를 치료하는 안티 바이러스 제품이 없었으며 심지어 진단 자체도 거의 불가능하였습니다. 일단 Backdoor.Win32.Sinowal 악성코드가 시스템에서 루트킷을 동작한 후에는 사용자의 데이터와 기타 계정 정보를 훔치기 위해 설계된 일련의 활동을 벌이게 됩니다.

Backdoor.Win32.Sinowal 악성코드는 Neosploit  취약점을 이용하는 것으로 수많은 악성 사이트를 통해 광범위하게 퍼뜨려지고 있습니다. 특히, 악성 PDF 문서를 사용자 모르게 다운로드할 수 있는 아크로뱃 리더의 취약점을 이용하여 시스템을 감염시킵니다.

이 악성코드에 감염되지 않기 위해서는 아래의 링크에서 아크로뱃 리더의 패치 버전을 반드시 설치해야 합니다.

http://www.adobe.com/support/security/bulletins/apsb09-04.html

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory