Widows
2003 Std
sp1
[ 윈도우 2003 서버의 장해 내용 ]
Windows 2003 std
에
sp2 를 설치하려고 했으나 계속해서 실패됨. e
0x8024200D
=>
해당 오류
코드는 업데이트할 설치파일이 Corrupt 되었다는 의미입니다.
업데이트에
사용되는 서비스들은 모두 정상이지만 서비스가 사용할 폴더 중 SoftwareDistribution
폴더가 Corrupt 된 것으로 보임.
Corrupt
된 원인으로 Rootkit 이 의심되고 있음.
[Cause]
N/A
[Resolution]
1.
고객님의 서버에서 “MS 유틸리티” 에 있는 파일 중 procexp.exe
를 이용하여 현재 실행되고 있는
프로세스를 확인하였습니다.
[ procexp.exe
는
ms 홈페이지 중에서 다운로드할 수 있는 유틸리티로 윈도우의 작업관리자와 비슷하지만 보다 자세하게 내용을 확인할 수 있는
유틸리티입니다. ]
e
특별히 의심되는 프로세스나 파일이
보이지 않았기 때문에 rootkit 프로세스를 찾을 수 없었습니다.
2.
이번에는 유틸리티 중
“Filemon.exe” 를 이용하여 폴더를 제거하려고
할 때 제거되지 않는 폴더를 확인하려고 시도하였습니다.
[ Filemon.exe
는 시스템에서 프로세스들이
어떤 file 을 access 하는지 모니터링하는
유틸리티입니다. ]
e
그러나 Filemon 의 로그에서는 “NOT EMPTY” 라고만 표시될 뿐
어떤 폴더나 파일이 존재하는지 나오지 않습니다.
3.
FSBL.exe
를 이용하여 hidden 되어 있는 file 혹은
process 가 있는지 scan 하였습니다.
(첨부된 로그)
e hxdefbot.exe,
hxdefhide.exe, hxdef100.exe, svchos.exe, lsas.exe 등등 상당히 많은 rootkit 이 고객님 서버에 존재합니다.
[조치 사항]
e registry
에서 해당 exe 파일들을 검색하여 이 파일을 실행시켜주는 service 로
등록된 레지스트리에서 시작 유형을 “사용 안 함” 으로 변경하였습니다.
e
실제 경로에 찾아가 지울 수 있는
한 모두 del 하였습니다. 그러나 여전히 지워지지 않는
파일들이 대부분 입니다.
이
파일들은 재부팅 후 서비스가 시작되지 않은 상태에서 다시 보시면 보일 수도 있습니다. 그 때 다시
삭제하셔야 할 수 있습니다.
[권장 사항]
1.
서버를 재부팅하기 전 현재
부팅되어 있는 상태에서 데이터를 모두 다른 드라이브로 백업합니다.
2.
서버를 재부팅하여 봅니다. 위에서 안내드린 것처럼 rootkit 들이 시작되지 않으면
파일들이 보일 수 있습니다. 그러면 실제 파일도 모두 제거하고 증상을 확인하여 봅니다.
3.
실제로 고객님 서버에서 ftp.exe , cscript.exe , wcsript.exe 등등 윈도우의 원래 파일들도 rootkit 으로 대체된 것이 확인되어 재설치하시는 것이 가장 좋을 것으로
보입니다.
로그파일 참조 :
invalid-file'새로운 소식' 카테고리의 다른 글
| 루트킷을 공격 루트로 가지는 강력한 Storm 웜 정보 (0) | 2007.04.16 |
|---|---|
| 어베스트 안티 바이러스 v4.7.981의 출시 안내(새로운 기능) (0) | 2007.04.15 |
| Avast! SE 안티바이러스를 삭제하는 루트킷 발견! (0) | 2007.04.12 |
| 100% Virus Bulletin 어워드 : SUSE 리눅스 (0) | 2007.04.09 |
| 美國, PC 매거진 잡지에서 뽑은 프리웨어에 어베스트!, AVG 안티바이러스가 선정되었습니다 (0) | 2007.02.25 |