메부토

Mebroot

MebrootTorpig를 포함한 봇넷에서 사용되는 마스터 부트 레코드 기반 루트킷입니다.스텔스 기술을 사용하여 사용자로부터 자신을 숨기는 정교한 트로이 목마입니다.트로이 목마는 공격 대상자의 컴퓨터에 백도어를 열어 공격자가 컴퓨터를 [1]완전히 제어할 수 있도록 합니다.

페이로드

트로이 목마는 MBR을 감염시켜 운영 체제가 시작되기 전부터 자체적으로 시작할 수 있도록 합니다.이것에 의해, 몇개의 세이프가드를 생략하고, operating system내에 깊숙이 삽입할 수 있습니다.트로이 목마는 읽기/쓰기 작업을 가로채 네트워크 드라이버에 깊숙이 내장할 수 있는 것으로 알려져 있습니다.이를 통해 일부 방화벽을 우회하고 커스텀 암호화 터널을 사용하여 명령 및 제어 서버와 안전하게 통신할 수 있습니다.이를 통해 공격자는 다른 멀웨어, 바이러스 또는 기타 응용 프로그램을 설치할 수 있습니다.트로이 목마는 작은 금전적 이득을 위해 피해자의 컴퓨터에서 정보를 훔치는 경우가 가장 많다.Mebroot은 키 입력을 기록하고 은행 정보를 훔치는 또 다른 트로이 목마인 Anserin과 연결되어 있습니다.이는 메부트의 [2]배후에 금전적 동기가 있을 가능성이 높다는 추가 증거를 제시합니다.

검출/제거

트로이 목마는 atapi.[3]sys에 접속함으로써 검출을 회피하려고 합니다.또한 Ntoskrnl.[4]exe에도 포함되어 있습니다.Mebroot에는 실행 파일도 레지스트리 키도 드라이버 모듈도 없기 때문에 바이러스 대책 소프트웨어 없이는 검출이 어렵습니다.안티바이러스 소프트웨어를 실행하는 것 외에 마스터 부트 레코드, 하드 드라이브, OS를 [5]삭제 또는 복구하여 트로이 목마를 제거할 수도 있습니다.

분배

메부트의 세 가지 변종이 발견되었다.첫 번째 버전은 2007년 11월에 편집된 것으로 추정되었습니다.12월에 Mebroot은 드라이브 바이 다운로드를 시작했습니다.2008년 초, 두 번째 공격이 있었다.2008년 2월,[2] 인스톨러의 변경을 수반하는 제2의 변종이 발견되었습니다.2008년 3월에 세 번째 변종이 발견되어 공격이 더욱 확산되었습니다.세 번째 변종 이후 트로이 목마는 바이러스 대책 소프트웨어를 앞지르도록 업그레이드되었습니다.메브루트가 아직 야생에 있는지 여부는 알려지지 않았다.현재[when?] Mebroot은 악의적인 웹 사이트를 방문하거나 응용 프로그램[6]악용하여 배포되는 것으로 알려져 있습니다.주로 유럽 지역에서 1,500개 이상의 웹사이트가 손상된 것으로 추정됩니다.Mebroot에 감염된 웹사이트의 트래픽은 하루에 [7]5만에서 10만 뷰에 이를 수 있다.

레퍼런스

  1. ^ "Symantec". Retrieved 3 April 2015.
  2. ^ a b "Trojan.Mebroot - Symantec". www.symantec.com.
  3. ^ "Trendmicro". Retrieved 3 April 2015.
  4. ^ "Houston Chronicle". Retrieved 3 April 2015.
  5. ^ "UCR". Retrieved 3 April 2015.
  6. ^ "Rootkit:Boot/Mebroot Description". www.f-secure.com.
  7. ^ "virusbtn" (PDF). Retrieved 3 April 2015.

외부 링크