트렌드마이크로가 제공하는 루트킷 검출 프로그램을 안내해봅니다 .

루트킷(Rootkit)이란 것을 쉽게 설명한다면 자신이 마치 윈도우등 운영 시스템의
일부인척 가장을 하여 검출을 어렵게한다고 간략히 말할 수 있습니다 .

이런 이유로 루트킷을 검출한다는 것 또한 쉬운일이 아니어서
전문적인 루트킷 탐지 프로그램들이 배포되기도하는데 ,
대개 한번 배포 이후 잘 업데이트가 되지 않아서 그 효용성이 굉장히 낮을 것으로
보입니다  .  ( 주 : 루트킷은 Malware 자체로 또는 거기에 묻어서 들어오기도 하지만 ,
일단 시스템에 설치되는 루트킷들은 시스템에 침입하는 악성코드들이 공용으로
이용하는 자원이 되기도 하는 것으로 압니다 . 루트킷은 대표적인 형태들 몇가지로
나뉘는 것으로 보이지만 , 이 역시 새로운 것들 , 변형들이 나올 것이므로 그 검출
프로그램의 업데이트도 종종 필요할 것인데 , 소포스 제공은 그 릴리스 노트로 볼 때 ,
2007년 3월에 머물고 있고 , sysinternals 가 제공하는 루트킷 리빌러는 2006년
11월 1일에 머물러 있어 아쉬움이 있었던 바였습니다 .)

그런데 오늘 우연히 Trendmicro가 최근에 새롭게 업데이트한
루트킷 버스터란 것을 알게되어 그 소개를 드려 봅니다 .

Rootkit Buster는 무설치형입니다 .
아래 링크에서 다운로드 받은 압축 파일을 풀어 실행을 시키면 됩니다 .

 http://www.trendmicro.com/download/kr/rbuster.asp

지원하는 운영체재는 아래와 같으며
64비트 운영체재는 지원하지 않는다고 합니다 .

Microsoft(TM) Windows(TM) 2000 Professional/Server/Advance Server
   -  Microsoft Windows Server(TM) 2003 Standard/Web/Data Center/
                                        Enterprise Server
   -  Microsoft Windows XP Home/Professional SP2 또는 SP3
   -  Microsoft Windows Vista(TM) SP1 또는 SP1 설치안된 비스타

저는 Windows XP 에서 실행하였습니다 .

아래는 실행된 메인창의 모습입니다 .
(검사를 진행한 후 스크린 샷을 잡아 검사가 진행중입니다 .)


위 그림에서 빨간 박스친 부분을 보시면 검사해주는 영역을 알 수 있는데 ,
그 영역은

master boot record (MBR) ,
hidden files ,
registry entries ,
processes,
drivers
입니다 .

검사가 끝나면 아래 그림처럼 로그 파일을 보겠냐고 뜹니다 .
(물론 빨간 박스 쳐놓은 Delete Selected Items를 통해 제거도 가능합니다 .)


아래는 로그 보기를 한 것입니다 .
저의 시스템에서는 발견된 것이 없군요 .......

스캔 시간이 상당히 빨라서 5분정도 내외 걸린 것으로 보입니다 .
물론 이는 시스템 사양에 따라 더욱 빨라지거나 , 느려질 수도 있습니다 .
또 주의하실 점이 이 것으로 스캔을 한것이 바이러스 및 스파이웨어를 검색한 것은
(부분적으로는 그렇기도 하지만) 아니다 - 즉 , 악성코드 검출을 위한 백신의 스캔을
대체할 수 없다는 것입니다 .

그리고 한가지 알려진 문제점이 있으니 ,
Seneka라고 검색된 루트킷을 제거시 시스템이 부팅이 안될 수도 있다고 합니다 .

이 문제를 해결하기 위하여는
Windows 복구 Console로 부팅해 ,
%system%\drivers\seneka*.sys를 제거해야 한다고 합니다 .
(%system%는 시스템 폴더로 일반적으로 windows\system32입니다 .)

만약 위 루트킷을 제거하게 되는 경우
윈도우 복구 콘솔 적용 전에 
위에서 삭제해야 한다는 파일을 아래 관련 글로 소개하는
Pendmoves 방식으로 지워도 되지 않을까 한번 생각해 봅니다 .
물론 Seneka 제거후 재부팅 전에 삭제 예약을 하셔야 할 것입니다 .
(직접 감염되어 보질 못해서 추정만 해봅니다 .)

관련 글 보기

2009/02/04 - [유용한 팁들] - movefile 활용

혹 윈도우 복구 콘솔 사용에 애로가 있는 경우에는 아래 소개하는 
Live CD 같은 것으로 시스템을 부팅후 삭제도 통할 것으로 보입니다 . 

2009/02/08 - [프로그램 리뷰] - Dr.Web LiveCD - Freeware

글을 마치기 전에 몇마디만 첨언한다면 ,
안철수연구소도 4월 중순경 자사 홈페이지를 통해 
루트킷 검출도구(Ahnlab Anti-Rootkit TrueFind)를 배포한다는 뉴스도 보이더군요 .....
저작자 표시 비영리 변경 금지
신고
 

글벌레의 블로그에서 윗글과 관련된 글벌레의 다른 글 또는 원하시는 내용을 찾아보세요 .
(컴퓨터 관련 또는 기타 검색 시는 키워드 검색을 하세요 . 예 - 프로세스 익스플로러)
(TV 드라마 또는 영화 관련 검색 시는 드라마/영화 제목으로 검색하시면 됩니다.)

검색 예시 - 예를 들어 구가의 서라고 검색하시면
구가의 서와 관련된 글벌레의 모든 리뷰들을 보실 수 있습니다.

 
 
Posted by 글벌레

댓글을 달아 주세요