Broken Code (window31)

저는 컴터를 쓰다가 하루에도 여러번씩 내 컴터에 깔린 커널 드라이버 리스트를 확인합니다.
드라이버를 은밀하게 깔아서 할 수 있는 짓이 워낙 많다 보니.. 저 또한 피해자의 예외대상은
아니라고 생각되어 걍 머 버릇처럼 확인하고 있습니다.

그런데 오늘 출근해서 보니 vzthni.sys 라는 묘한 드라이버가 올라와 있더군요 -_-
파일 날짜를 보니 어제 퇴근 시간 직전 시간입니다.
어떤 개쉑이 내 PC에 기 들어와서 이상한거 깔아놓은건가 하는 압뷁에 순간 혼미해지더군요
저희가 짱개들로부터 해킹 공격을 하도 많이 받다 보니 그런 생각이 더했습니다.
그리고 제 PC는 워낙 음흉한 자료가 많다보니 ㅎㅎㅎ 더 심장이 조여오더군요 -_-

일단 바이러스 토탈에 먼저 넣어 봤습니다.

2개 백신에서 걍 오진인지 휴리스틱의 원인인지 암튼 의심스럽다 정도만을 내뱉는거 빼고는
아주 깔끔합니다 -_-

사실 깔끔해서 더 무섭더군요.
보통은 세상에 등장하지 않은 갓 태어난 싱싱한 바이러스에게 공격당하는 경우가 많거든요.
그 경우는 백신이 당연히 본적이 없는 바이러스이기 때문에 진단이 되지 않는것은 당연하고요 -_-

아무튼 드라이버를 얼른 뜯어 봤습니다.
크기도 상당히 크고, 의심스러운 짓을 너무나 많이 하더군요.

노티파이 루틴이 있어서 새 프로세스 생성도 감지하고 있고
그리고 SDT 도 건드리고 있는데, 테이블을 후킹하는게 아니고 오버라이트 훅을 하더군요
루트킷 디텍터에 걸리지 않으려고 아주 지대로 만들었군 하는 생각에 더 두려움에 떨었습니다....;
TCP접속도 체크하더군요.
난 완전 당한거야 무슨 파일들이 나갔을까 떨면서 IDA를 계속 보고 있는데
뭔가 이상합니다....

어디서 언젠가 본 드라이버 같아요.....

다시 한번 잘 뜯어보았습니다...
그리고 어제 퇴근시간 전에 실행했던 프로그램들을 생각해 보았습니다..

아악!!!! 하는 생각이 온몸에 휘감으면서
드라이버의 PE Header를 살펴보았습니다.
그리고 얼른 어떤 프로그램을 띄워서 그 프로그램의 드라이버를 로딩시킨 후
WinHex Kernel로 그 프로그램의 PE를 보았습니다...


오........이런....


File name : C:\Documents and Settings\window31\바탕 화면\vzthni.sys

== File Header ==
Machine              : 0x14C (Intel 386)
NumberOfSections     : 0x5
TimeDateStamp        : 0x46919405 (Mon Jul 09 10:48:53 2007)

두 드라이버의 타임스탬프를 비교해니 아주 명확하죠? (0x05 0x94 0x91 0x46)
vzthni.sys 의 범인은 IceSword의 드라이버였습니다 -_-

생각해보니 어제 퇴근시간 직전에 뭔가 확인해 볼 것이 있어서 IceSword를 실행했는데
이상하게 잘 실행되지 않고 좀비 상태로 멈췄길래 다시 한번 더 실행했던 기억이 나네요.
그때 오리지날 파일명인 IsDrv112.sys로 올라가지 않고 이상한 이름으로 드라이버가
로드되었던 것 같습니다.

IceSword가 실행될때 ㅄ이 되면 드라이버를 다른 이름으로 바꿔서 재 로드를 시도하는
코드가 있나 봅니다. 메인 exe는 아직 뜯어보지 않아서 더 구체적인 내용은 모르겠네요.

암튼 이상한 드라이버 때문에 십년 감수 했다는 -_-

아침부터 삽질 좀 했네요 ;;
머 덕분에 아이스스워드의 오리지날 드라이버 파일을 깔끔하게 획득 했습니다만 :p



걍 회의들어가기 전에 시간이 애매하게 남아서 끄적거려봤습니다.



(참고, IceSword의 드라이버는 로드시킨후 지워버리기 때문에 메모리에서 보아야 합니다
그래서 WinHex Kernel을 사용했습니다)


window31. 2008년 2월.