Windows 2003 Std 에 SP2 를 설치하려고 했으나 계속해서 실패

윈도우 보안 2007/06/25 11:13

Widows 2003 Std SP1 에서 SP2으로 업그레이드를 하려고 하니 계속해서 실패가 되어서 설치를 지속적으로 할 수 없습니다.

1. 윈도우 2003 서버의 장해 내용

Windows 2003 std sp2 를 설치하려고 했으나 계속해서 실패됨. e 0x8024200D

=> 해당 오류 코드는 업데이트할 설치파일이 Corrupt 되었다는 의미입니다.
업데이트에 사용되는 서비스들은 모두 정상이지만 서비스가 사용할 폴더 중SoftwareDistribution 폴더가 Corrupt 된 것으로 보임.
Corrupt 된 원인으로 Rootkit 이 의심되고 있음.

2. 해결방법

  1. 고객님의 서버에서 “MS 유틸리티” 에 있는 파일 중 procexp.exe 를 이용하여 현재 실행되고 있는 프로세스를 확인하였습니다.
    [ procexp.exe 는 ms 홈페이지 중에서 다운로드할 수 있는 유틸리티로 윈도우의 작업관리자와 비슷하지만 보다 자세하게 내용을 확인할 수 있는 유틸리티입니다. ]
    • 특별히 의심되는 프로세스나 파일이 보이지 않았기 때문에 rootkit 프로세스를 찾을 수 없었습니다.

  2. 이번에는 유틸리티 중 “Filemon.exe” 를 이용하여 폴더를 제거하려고 할 때 제거되지 않는 폴더를 확인하려고 시도하였습니다.
    [ Filemon.exe 는 시스템에서 프로세스들이 어떤 file 을 access 하는지 모니터링하는 유틸리티입니다. ]
    • 그러나 Filemon 의 로그에서는 “NOT EMPTY” 라고만 표시될 뿐 어떤 폴더나 파일이 존재하는지 나오지 않습니다.

  3. FSBL.exe 를 이용하여 hidden 되어 있는 file 혹은 process 가 있는지 scan 하였습니다. (첨부된 로그)
    • hxdefbot.exe, hxdefhide.exe, hxdef100.exe, svchos.exe, lsas.exe 등등 상당히 많은 rootkit 이 고객님 서버에 존재합니다.
3. 조치 사항
  • registry 에서 해당 exe 파일들을 검색하여 이 파일을 실행시켜주는 service 로 등록된 레지스트리에서 시작 유형을 “사용 안 함” 으로 변경하였습니다.
  • 실제 경로에 찾아가 지울 수 있는 한 모두 del 하였습니다. 그러나 여전히 지워지지 않는 파일들이 대부분 입니다.
이 파일들은 재부팅 후 서비스가 시작되지 않은 상태에서 다시 보시면 보일 수도 있습니다. 그 때 다시 삭제하셔야 할 수 있습니다.


4. 권장 사항

  1. 서버를 재부팅하기 전 현재 부팅되어 있는 상태에서 데이터를 모두 다른 드라이브로 백업합니다.
  2. 서버를 재부팅하여 봅니다. 위에서 안내드린 것처럼 rootkit 들이 시작되지 않으면 파일들이 보일 수 있습니다. 그러면 실제 파일도 모두 제거하고 증상을 확인하여 봅니다.
  3.  실제로 고객님 서버에서 ftp.exe , cscript.exe , wcsript.exe 등등 윈도우의 원래 파일들도 rootkit 으로 대체된 것이 확인되어 재설치하시는 것이 가장 좋을 것으로 보입니다

하단 파일은 로그 파일이며 업그레이드 오류 메시지입니다.
fsbl20070412011454(3).log

자료출처 :[해킹:루트킷] Windows 2003 std 에 sp2 를 설치하려고 했으나 계속해서 실패

'윈도우 보안' 카테고리의 다른 글

요즘 다시 시작되는 웹 페이지 변조 공격  (1) 2007/06/26
해킹. 어떻게 대처할 것인가?  (3) 2007/06/26
Windows 2003 Std 에 SP2 를 설치하려고 했으나 계속해서 실패  (2) 2007/06/25
Windows Schannel 보안 패키지의 취약점으로 인한 원격 코드 실행 문제점  (0) 2007/06/25
2007년 05월 해킹 바이러스 통계 및 분석 월보  (2) 2007/06/19
마이크로소프트, 오피스 2003용 보안 도구 출시  (0) 2007/05/23
Posted by NTFAQ
TAG , , ,
트랙백 0, 댓글 2개가 달렸습니다

트랙백 주소 :: http://ntfaq.co.kr/trackback/3954 관련글 쓰기

댓글을 달아 주세요

  1. merlin97@korea.com 2007/06/25 15:08  댓글주소  수정/삭제  댓글쓰기

    FSBL.exe는 어디서 구할 수 있을까요?

  2. Favicon of http://www.daegul.com BlogIcon 데굴대굴 2007/06/25 15:49  댓글주소  수정/삭제  댓글쓰기

    FSBL은 F-Secure BlackLight를 지칭합니다. 꼭 F-Secure BlackLight가 아니여도 어지간한 루트킷 프로그램이라면 대부분 찾아냅니다. (물론 해당 프로그램마다 사용 방법이나 범위가 조금씩 다릅니다)