¾ÏÈ£È ·çƾ ÀÌÈÄ ÀÚ°¡»èÁ¦ ¼öÇà ±â´Éµµ Áö¿ø... ·¯½Ã¾Æ, º§¶ó·ç½º µî 9°³±¹Àº ¾ÏÈ£È Á¦¿Üµµ
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ·¯½ºÆ®(Rust) ±â¹ÝÀ¸·Î ÀÛ¼ºµÈ ¾Ç¼ºÄÚµåÀÎ ³×¹Ù´Ù(Nevada) ·£¼¶¿þ¾î°¡ À¯Æ÷µÇ°í ÀÖ´Â °ÍÀÌ È®ÀεƴÙ. ³×¹Ù´Ù ·£¼¶¿þ¾î´Â °¨¿°µÆÀ» ¶§ °¨¿°µÈ ÆÄÀÏ¿¡ ¡®.NEVADA¡¯ È®ÀåÀÚ°¡ Ãß°¡µÇ´Â Ư¡ÀÌ ÀÖ´Ù. ¶ÇÇÑ, ¾Ïȣȸ¦ ¼öÇàÇÑ °¢ µð·ºÅ͸®¿¡ ¡®README.txt¡¯ À̸§À¸·Î ·£¼¶³ëÆ®¸¦ »ý¼ºÇϸç, ·£¼¶³ëÆ® ³»¿¡ ÁöºÒÀ» À§ÇÑ Tor ºê¶ó¿ìÀú ¸µÅ©°¡ Á¸ÀçÇÑ´Ù.
¡ã¾ÏÈ£È ÆÄÀÏ ¿¹½Ã ¹× Nevada ·£¼¶³ëÆ®(ÁºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾È·¦ ASEC ºÐ¼®ÆÀÀº ³×¹Ù´Ù ·£¼¶¿þ¾î´Â ¼¼ºÎ ½ÇÇà ¹æ½Ä ÁöÁ¤À» À§ÇÑ Ä¿¸Çµå ±â¹Ý ¿É¼ÇÀ» Áö¿øÇÏ°í ÀÖ´Ù°í ¹àÇû´Ù. ÀÌ ·£¼¶¿þ¾î´Â º°µµÀÇ ¿É¼ÇÀ» ÁöÁ¤ÇÏÁö ¾Ê°í ½ÇÇà ½Ã, ¸ðµç µå¶óÀ̺긦 ¼øȸÇÏ¸ç ¾Ïȣȸ¸À» ÁøÇàÇÏÁö¸¸ ¡®file¡¯, ¡®dir¡¯ ¿É¼Ç ÁöÁ¤À¸·Î °³º° ÆÄÀÏ ¹× µð·ºÅ͸®¸¦ ƯÁ¤ÇØ ¾Ïȣȸ¦ ¼öÇàÇϰųª ±âŸ ¿É¼ÇµéÀ» ÅëÇØ ÀÚ°¡»èÁ¦, ¾ÏÈ£È ´ë»ó µå¶óÀ̺ê Ãß°¡ ·Îµå, ¾ÈÀü¸ðµå¿¡¼ µ¿ÀÛ ¼öÇà µîÀÇ ±â´ÉÀ» È°¼ºÈÇÒ ¼ö ÀÖ´Ù.
¡ãNevada ·£¼¶¿þ¾î ½ÇÇà ¿É¼Ç[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
³×¹Ù´Ù ·£¼¶¿þ¾îÀÇ ÁÖ¿ä ±â´É ´Ù¼¸ °¡Áö Áß Ã¹ ¹ø°´Â ¡®ÀÚ°¡»èÁ¦(-sd)¡¯ ±â´ÉÀ¸·Î, ³×¹Ù´Ù ·£¼¶¿þ¾î´Â ¾ÏÈ£È ·çƾ ¼öÇà ÀÌÈÄ ÀÚ°¡»èÁ¦¸¦ ¼öÇàÇÏ´Â ±â´ÉÀ» Áö¿øÇÑ´Ù. µÎ ¹ø°·Î, ¡®º¼·ý½¦µµ »èÁ¦(-sc)¡¯ ±â´ÉÀÌ ÀÖ´Ù. ³×¹Ù´Ù ·£¼¶¿þ¾î´Â DeviceIoControlÀ» È°¿ëÇØ, ½Ã½ºÅÛ º¹±¸¸¦ ¹æÇØ(T1490)ÇÏ´Â ±â¹ýÀÌ È®ÀεƴÙ. ½Ã½ºÅÛ º¹±¸ ¹æÇØ´Â ÇØ´ç ·£¼¶¿þ¾î ³»¿¡¼ È®ÀÎµÈ º¼·ý½¦µµ º¹»çº»(VSS, Volume Shadow Copy)À» »èÁ¦ÇÏ´Â ¹æ½ÄÀ¸·Î ÁøÇàÇÑ´Ù. ÀÌ´Â 2³â Àü Æ®À§ÅÍ ¹× ±êÇãºê(poc)¿¡ °ø°³µÈ ¹æ¹ýÀ¸·Î ÆľǵȴÙ.
¡ãNevada ·£¼¶¿þ¾îÀÇ ÀÚ°¡»èÁ¦ ¿É¼Ç ¹× DeviceIoControl()À» È°¿ëÇÑ º¼·ý½¦µµ Å©±â ÀçÁöÁ¤(ÁºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ÇØ´ç ÄÚµå´Â Á÷Á¢ÀûÀÎ Device IO Control callsÀ» ÅëÇØ µð¹ÙÀ̽º µå¶óÀ̹ö¿¡ Á÷Á¢ ¿¢¼¼½ºÇØ ¡®Volume Shadow Copy Storage Å©±â¸¦ ¸Å¿ì ÀÛÀº Å©±â·Î ÀçÁöÁ¤¡¯ÇÏ´Â ¹æ½ÄÀÌ´Ù. ÈçÈ÷ vssadmin, wbadmin, bcdedit, wmic ¸í·É¾î È£ÃâÀ» ÅëÇØ ½Ã½ºÅÛ º¹±¸¸¦ ¹æÇØÇÏ´Â ±â¹ýÀº ±âÁ¸¿¡ ´Ù¾çÇÑ ¾Ç¼ºÄڵ忡¼ È°¿ëµÇ°í ÀÖ¾úÀ¸³ª, ÇØ´ç ·£¼¶¿þ¾î´Â Device IO Control callsÀ» Á÷Á¢ ÀÌ¿ëÇÏ´Â ÈçÈ÷ »ç¿ëµÇÁö ¾Ê´Â ¹æ½ÄÀ» È°¿ëÇÑ °ÍÀÌ Æ¯Â¡ÀÌ´Ù.
¼¼ ¹ø°´Â ¡®hidden µå¶óÀÌºê ·Îµå(-lhd)¡¯ ±â´ÉÀ¸·Î, ³×¹Ù´Ù ·£¼¶¿þ¾î´Â Á¤ÀÇµÈ °¢ µå¶óÀÌºê ¹®ÀÚ¿µéÀ» È°¿ëÇØ °¢ º¼·ýÀ» ¼øȸÇϸç, ¼û°ÜÁø ÆÄƼ¼ÇÀ» ·ÎµåÇØ ¾Ïȣȸ¦ ¼öÇàÇÏ´Â ±â´ÉÀÌ ÀÖ´Ù.
´ÙÀ½À¸·Î ¡®³×Æ®¿öÅ© °øÀ¯Æú´õ ¾ÏÈ£È(-nd)¡¯ ±â´ÉÀÌ´Ù. ÀÌ ±â´ÉÀº ¼û°ÜÁø µå¶óÀ̺긦 ·ÎµåÇØ ¾Ïȣȸ¦ ¼öÇàÇÏ´Â ±â´É ¿Ü¿¡µµ, ½Ã½ºÅÛ ³»¿¡ Á¸ÀçÇÏ´Â ³×Æ®¿öÅ© °øÀ¯ ¸®¼Ò½º¿¡ Á¢±ÙÇØ ¾Ïȣȸ¦ ¼öÇàÇÑ´Ù.
¡ã¼û°ÜÁø ÆÄƼ¼ÇÀ» ·ÎµåÇØ ¾ÏÈ£È ¹× ³×Æ®¿öÅ© °øÀ¯Æú´õ ¾ÏÈ£È(ÁºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
´Ù¼¸ ¹ø°´Â ¡®¾ÈÀü¸ðµå·Î µ¿ÀÛ(-sm)¡¯ÇÏ´Â ±â´ÉÀÌ´Ù. ÇØ´ç ¾Ç¼ºÄÚµå´Â ¾ÈÀü¸ðµå·Î ÀçºÎÆÃÇØ µ¿ÀÛÇÏ´Â ±â´ÉÀÌ ÀÖÀ¸¸ç, À̸¦ À§ÇØ ÇØ´ç ·£¼¶¿þ¾î ÇÁ·Î±×·¥À» ¾ÈÀü¸ðµå ºÎÆà ÀÌÈÄ ½ÇÇàµÇ´Â ¼ºñ½º ÇüÅ·Πµî·Ï ÈÄ ½ÇÇàÇÏ´Â ±â´Éµµ ÀÖ´Ù. ÀÌ¿Ü¿¡µµ ¾ÈÀü¸ðµå ºÎÆà ÀÌÈÄ ÀÚµ¿½ÃÀÛ ¼ºñ½º ¸ñ·Ï¿¡¼ WinDefender¸¦ Á¦°ÅÇÏ´Â ±â´Éµµ È®ÀεƴÙ.
¡ã¾ÈÀü¸ðµå ºÎÆà ÈÄ µ¿ÀÛÀ» À§ÇÑ ¼ºñ½º »ý¼º ¹× ÀÚµ¿½ÃÀÛ ·¹Áö½ºÆ®¸® µî·Ï[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
³×¹Ù´Ù ·£¼¶¿þ¾îÀÇ °¨¿° ´ë»ó ¹× ¾ÏÈ£È ¿¹¿Ü Á¶°ÇÀº ´ÙÀ½°ú °°´Ù. ¸ÕÀú °¨¿° Á¦¿Ü LocaleÀº ³×¹Ù´Ù ·£¼¶¿þ¾î »ùÇÃÀÇ °æ¿ì, Commonwealth of Independent States(CIS) ±¹°¡ Áß ÀϺΠ9°³±¹(0x0419(ru-RU), 0x0444(tt-RU), 0x0423(be-BY), 0x0428(tg-Cyrl-TJ), 0x042B(hy-AM), 0x042C(az-Latn-AZ), 0x0440(ky-KG), 0x0443(uz-Latn-UZ), 0x0819(ru-MD))¿¡¼´Â ÆÄÀÏÀ» °¨¿°ÇÏÁö ¾Ê°í Á¾·áÇϴ Ư¡ÀÌ ÀÖ´Ù. ÇØ´ç ±¹°¡´Â ±¸¼Ò·Ã °ü·Ã ±¹°¡µé·Î È®ÀεǸç, ÀÌ·¯ÇÑ ¿¹¿Ü ±¹°¡ ¼³Á¤À» À§ÇØ ÄÚµå ³» ¿¹¿Ü´ë»ó ±¹°¡µé¿¡ ´ëÇÑ ºñÆ® Ç÷¡±×°¡ ¼³Á¤µÈ °ÍÀ¸·Î º¸Àδٴ °Ô ¾È·¦ ASEC ºÐ¼®ÆÀÀÇ ¼³¸íÀÌ´Ù.
¡ãNEVADA ·£¼¶¿þ¾îÀÇ ¾ð¾î ÄÚµå üũ ·çƾ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
³×¹Ù´Ù ·£¼¶¿þ¾î´Â ¾ÏÈ£È ´ë»ó¿¡¼ ¿¹¿Üó¸®ÇÒ ÆÄÀÏ¸í ¹× Æú´õ¸íÀ» üũÇÏ´Â ·çƾÀÌ Æ÷ÇԵƴÙ. °á°úÀûÀ¸·Î ¾ÏÈ£È ¿¹¿Ü ´ë»óÀÌ µÇ´Â Æú´õ´Â windows, program files, program files (x86), appdata, programdata, system volume information, NEVADA µîÀ̸ç, ¾ÏÈ£È Á¦¿Ü È®ÀåÀÚ´Â ¡®.exe¡¯, ¡®.ini¡¯, ¡®.dll¡¯, ¡®.url¡¯, ¡®.lnk¡¯, ¡®.scr¡¯ µîÀÌ´Ù. ¶ÇÇÑ, °¨¿° Á¦¿Ü substringÀº ntuserÀÌ´Ù.
¾È·¦ ASEC ºÐ¼®ÆÀ °ü°èÀÚ´Â ¡°·£¼¶¿þ¾î ¿¹¹æÀ» À§ÇØ Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏ ½ÇÇà¿¡ ÁÖÀÇÇØ¾ß Çϸç, Àǽɽº·¯¿î ÆÄÀÏÀÇ °æ¿ì ¹é½ÅÀ» ÅëÇÑ °Ë»ç ¹× ¹é½Å ÃֽŠ¾÷µ¥ÀÌÆ®°¡ ÇÊ¿äÇÏ´Ù¡±°í ¹àÇû´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>