알루론

Alureon

Alureon(TDSS 또는 TDL-4)은 시스템의 네트워크 트래픽을 가로채서 은행 사용자 이름과 비밀번호, 신용카드 데이터, PayPal 정보, 사회보장번호 및 기타 중요한 사용자 데이터를 검색하여 데이터를 훔치기 위해 만들어진 트로이 목마 및 부트킷이다.[1] 고객 불만이 잇따르자 마이크로소프트는 알루론이 일부 32비트 마이크로소프트 윈도 시스템에서 BSoDs 파장을 일으켰다고 판단했다. MS10-015 업데이트는 멀웨어 작성자가 만든 가정을 깨고 이러한 충돌을 유발했다.[2][3][4]

마이크로소프트가 실시한 조사에 따르면, 2010년 2/4분기에 알루론은 두 번째로 활동적인 봇넷이었다.[5]

설명

알루어 부츠는 2007년경에 처음 확인되었다.[1] 개인용 컴퓨터는 사용자가 트로이 목마 소프트웨어를 수동으로 다운로드하여 설치할 때 주로 감염된다. 알루론은 악성 보안 소프트웨어 '시큐리티 이센셜 2010'[2]과 함께 번들로 제공된 것으로 알려졌다. 드로퍼가 실행되면 먼저 인쇄 스풀러 서비스(spoolsv.exe)를 가로채 마스터 부트 레코드를 업데이트하고 수정된 부트스트랩 루틴을 실행한다. 그런 다음 PATA 운영(atapi.sys) 담당자와 같은 낮은 수준의 시스템 드라이버를 감염시켜 루트킷을 설치한다.

설치가 완료되면 Alureon은 Windows 레지스트리를 조작하여 Windows 작업 관리자, Windows Update 및 바탕 화면에 대한 액세스를 차단한다. 그것은 또한 안티바이러스 소프트웨어를 비활성화하려고 시도한다. 알루론은 또한 클릭 사기를 저지르도록 검색 엔진을 리디렉션하는 것으로 알려져 있다. 구글은 악성 활동을 검색해 이를 완화하는 조치를 취하고, 긍정적인 검출이 있을 경우 사용자에게 경고하고 있다.[6]

이 악성코드는 보안 업데이트 MS10-015 설치 시 코드의 소프트웨어 버그로 인해 일부 32비트 Windows(윈도우) 시스템이 충돌했을 때 대중들의 상당한 관심을 끌었다.[2] 맬웨어는 핫픽스를 설치한 후 변경된 커널의 하드 코딩 메모리 주소를 사용하고 있었다. 이후 마이크로소프트는 알루론 감염이 있을 경우 설치를 막기 위해 핫픽스를 수정했고,[7] 악성코드 작성자도 코드의 버그를 수정했다.

2010년 11월, 언론은 루트킷이 64비트 버전의 Windows 7(윈도우 7)의 커널 모드 드라이버 서명 요구 조건을 우회할 정도로 진화했다고 보도했다. 이는 마스터 부트 레코드를 하위 검사함으로써 이루어졌으며,[8] 이는 안티바이러스 소프트웨어에 의해 탐지 및 제거되는 모든 시스템에 특히 내성을 갖게 했다.

TDL-4

TDL-4는 알루론과 동의어로 쓰이기도 하며 봇넷을 운영하는 루트킷의 이름이기도 하다.

2008년 4월 Kaspersky Lab에 의해 TDL-1이 검출되면서 처음 등장했다. 이후 버전 2는 2009년 초에 TDL-2로 알려졌다. TDL-2가 알려진 지 얼마 후 TDL-3라는 제목의 버전 3이 등장했다.[9] 이는 결국 TDL-4로 이어졌다.[10]

카스퍼스키의 TDSSKiller와 같은 도구로 탈부착이 가능하지만, 2011년 언론인들에게 종종 "분쇄 불가"로 주목받았다.[11] 대상 시스템의 마스터 부트 레코드를 감염시켜 탐지 및 제거가 더 어려워진다. 주요 발전으로는 통신 암호화, Kad 네트워크를 이용한 분산 제어, 기타 악성 프로그램 삭제 등이 있다.[12][13]

제거

루트킷은 일반적으로 탐지를 피할 수 있지만, 패킷 분석기와 네트워크 트래픽의 조사나 netstat와 같은 툴과의 아웃바운드 연결의 검사를 통해 감염의 정황을 찾을 수 있다. 컴퓨터의 기존 보안 소프트웨어는 루트킷을 보고하는 경우가 간혹 있지만, 탐지되지 않는 경우가 많다. 악성코드는 보안 소프트웨어의 업데이트를 막으려고 하므로 WinPE와 같은 대체 운영 체제를 부팅한 후 감염된 시스템을 오프라인으로 스캔하는 것이 유용할 수 있다. 윈도우즈 복구 콘솔의 "FixMbr" 명령과 "atapi.sys"의 수동 교체는 안티바이러스 도구가 감염을 찾아 치료하기 전에 루트킷 기능을 비활성화하기 위해 필요할 수 있다.[citation needed]

다양한 회사들이 알루론을 제거하려는 독립형 도구를 만들었다. 가지 인기 있는 도구는 마이크로소프트 윈도 디펜더 오프라인과 카스퍼스키 TDSSKiller이다.

체포

2011년 11월 9일, 미국 뉴욕 남부 지방 검사는 오퍼레이션 고스트 클릭과 함께 에스토니아 당국에 체포된 6명의 에스토니아인과 1명의 러시아 국적에 대한 혐의를 발표했다.[14] 2012년 2월 6일 현재, 이들 중 2명은 알루론을 이용해 수백만 대의 컴퓨터를 감염시키는 정교한 작전을 실행한 혐의로 뉴욕으로 송환되었다.[15]

참고 항목

참조

  1. ^ a b "Win32_Alureon threat description - Microsoft Security Intelligence". microsoft.com. March 2007. Archived from the original on 10 February 2010. Retrieved 2010-02-18.
  2. ^ a b c "Microsoft Security Bulletin MS10-015 - Important". Microsoft. 2010-03-17. Archived from the original on 5 June 2011. Retrieved 2011-04-25.
  3. ^ "MS10-015 Restart Issues Are the Result of a Rootkit Infection (threatpost)". Archived from the original on 2012-10-21. Retrieved 2010-02-19.
  4. ^ "More information about Alureon". symantec.com.
  5. ^ "Most Active Botnet Families in 2Q10" (PDF). Microsoft. p. 24. Retrieved 19 August 2015.
  6. ^ "Google warns of massive malware outbreak". Financial Post. 2011-07-20. Retrieved 2011-11-25.
  7. ^ "Update - Restart Issues After Installing MS10-015 and the Alureon Rootkit". Microsoft Security Response Center. 2010-02-17.
  8. ^ Goodin, Dan (2010-11-16). "World's Most Advanced Rootkit Penetrates 64-bit Windows". The Register. Archived from the original on 21 November 2010. Retrieved 2010-11-22.
  9. ^ "TDSS". Securelist by Kaspersky.
  10. ^ Golovanov, Sergey; Igor Soumenkov (27 June 2011). "TDL4 – Top Bot". Securelist by Kaspersky. Securelist. Retrieved 19 May 2020.
  11. ^ Herkanaidu, Ram (4 July 2011). "TDL-4 Indestructible or not?". Securelist by Kaspersky. securelist. Retrieved 19 May 2020.
  12. ^ Reisinger, Don (30 June 2011). "TDL-4: The 'indestructible' botnet? The Digital Home - CNET News". CNET. Retrieved 15 October 2011.
  13. ^ "'Indestructible' TDL-4 Botnet?". Techno Globes. 2 July 2011. Archived from the original on 12 October 2011. Retrieved 16 March 2016.CS1 maint: 잘못된 URL(링크)
  14. ^ "Operation Ghost Click:International Cyber Ring That Infected Millions of Computers Dismantled". FBI.gov. 9 November 2011. Retrieved 14 August 2015.
  15. ^ Finkle, Jim (5 July 2015). "Virus could black out nearly 250,000 PCs". Reuters. Retrieved 14 August 2015.

외부 링크