본문 바로가기

Rootkit

[해킹:루트킷] Windows 2003 std 에 sp2 를 설치하려고 했으나 계속해서 실패 [Environment] Widows 2003 Std sp1 [ 윈도우 2003 서버의 장해 내용 ] Windows 2003 std 에 sp2 를 설치하려고 했으나 계속해서 실패됨. e 0x8024200D => 해당 오류 코드는 업데이트할 설치파일이 Corrupt 되었다는 의미입니다. 업데이트에 사용되는 서비스들은 모두 정상이지만 서비스가 사용할 폴더 중 SoftwareDistribution 폴더가 Corrupt 된 것으로 보임. Corrupt 된 원인으로 Rootkit 이 의심되고 있음. [Cause] N/A [Resolution] 1. 고객님의 서버에서 “MS 유틸리티” 에 있는 파일 중 procexp.exe 를 이용하여 현재 실행되고 있는 프로세스를 확인하였습니다. [ procexp.exe 는 ms.. 더보기
Avast! SE 안티바이러스를 삭제하는 루트킷 발견! 최근, 웹 서버와 메일 서버에 대한 다각적인 공격 성향을 앞서 알려 드린 적이 있습니다. 요즘에 새롭게 부각되는 부분이 바로 루트킷이라는 공격 방식입니다. 바이러스/웜은 OS가 동작하고 난 뒤에 실행되므로, 프로세스/파일 등에서 그 원인을 찾아 낸 수 있는 반면에, 루트킷은 OS 커널 상에 동작하기 때문에 기존의 바이러스 백신으로는 진단 및 치료가 불가능합니다. 최근 발견된 XXX 루트킷의 동작을 살펴 보면, 각종 백신의 설치 자체를 인식하는 것으로 보여지며, 당사에서 판매하는 avast! SE를 설치할 경우, 설치를 마치고 재부팅을 하고 나면, 설치 폴더 이외에는 아무런 파일이 보이지 않는 상황이 나타납니다. 물론, 서비스에 어베스트! 관련 4개가 존재하지만 아무런 동작을 취하지 않습니다. 아래 자료는.. 더보기
어베스트! 안티바이러스가 이상 현상(자기 실행 파일 삭제/블루 스크린) 발생시 해결 방안 최근 일주일 정도 사이에 어베스트! 안티바이러스에 관한 문제점이 보고되고 있습니다. 현상: 어베스트! 안티 바이러스를 설치하고 나서, 재부팅을 하고 나면, 설치된 파일 중의 일부가 사라져 있고, 간헐적으로 블루 스크린을 나타냅니다. 원인: 현재까지 알려진 원인으로는 사용자 모르게 루트킷이 설치되어 있는 경우에 발생할 수 있읍니다. 해결: 다음의 루트킷 탐지 및 제거 프로그램을 이용하여 검사하여 제거합니다. F-Secure Blacklight : http://www.f-secure.com/blacklight/try_blacklight.html Panda AntiRootKit: http://www.pandasoftware.com/download/documents/help/rkc/en/rkc_en.htm 모든.. 더보기