과거에 비해 안전한 웹사이트도 해커들의 공격에 의해 악성코드를 유포하는 장소로 이용당하고 있는 현실입니다. 물론 상당수 웹페이지는 인터넷 사용자를 표적으로 악성코드를 심어두고 방문을 유도하는 경우도 많습니다.

웹페이지를 방문하였는데 갑자기 자신이 사용하는 백신에서 악성코드 감지를 알리는 메시지를 보냈다고 가정하고 해당 샘플을 수집하는 방법을 알아보도록 하겠습니다.

<주의사항> : 글쓴이의 수집 방식에 전문성이 없음을 양해바랍니다.

<참고사항> : Windows XP SP2 / 웹마 웹브라우저 / F-Secure & AhnLab SpyZero 환경

1. 먼저 악성코드가 유포되는 A사이트에 접속을 합니다.

사용자 삽입 이미지

그림에서와 같이 제가 사용하는 백신에서 Downloader.Win32.InsTool 이라는 진단명으로 악성코드가 발견되었다는 실시간 감시 기능이 작동합니다.


상세 정보를 보시면 악성코드 파일명 speedtest[1].dll 과 다운로드 받은 폴더 경로 Z:\Temporary Internet Files\Content.IE5\7LR04BHN 를 알 수 있습니다.

여기서 먼저 해당 파일이 존재하는 경로에 접근을 합니다. 그리고 해당 샘플을 백신이 아무런 동작을 하지 않도록 Do nothing을 선택합니다.

2. 해당 폴더에 존재하는 악성코드 샘플을 백신에서 실시간 진단을 하지 않게 만들기

사용자 삽입 이미지

해당 경로에 보시면 그림과 같이 speedtest[1].dll 샘플이 보이실 겁니다.

현재 저 샘플은 백신에서 진단을 하는 샘플이므로 해당 샘플의 확장자를 변경하여 진단을 우회하도록 해야 샘플 이동 및 압축 등이 가능합니다.

여기서 중요한 점은 자신이 사용하는 백신의 실시간 옵션이 반드시 특정 확장자만을 진단하도록 설정되어 있어야 합니다. 만약 실시간 감시가 모든 파일을 감시하는 상태라면 확장자 변경을 하여도 여전히 진단하게 됩니다. 그리고 컴퓨터 사용상 모든 파일을 실시간 감시를 시키면 컴퓨터 자원만 낭비하는 셈입니다.

이제, 해당 dll 파일을 0ll로 확장자 변경을 합니다.

사용자 삽입 이미지

0ll로 변경된 샘플은 백신 실시간 감시에서 벗어나서 파일 이동이 쉬워지게 되므로, 샘플을 압축 프로그램으로 압축하여 보안업체에 신고하실 수 있습니다.

지금까지 쓴 내용은 자신이 사용하는 백신에서 해당 샘플을 진단하는 경우 그 샘플을 수집하는 방법입니다.

글 내용상 자신이 사용하는 백신에 따라 샘플 수집 방식이 다소 다를 수 있음을 양해 바랍니다.
블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..