이 프로그램은 2000년 9월, 국내 주요 백신사로부터 "제거 불가능" 판정을 받은 이후 사회적 파장을 고려하여 영구 배포 중지되었습니다.
개요
HydraRAT은 그리스 신화의 히드라에서 이름을 따왔습니다. 머리를 잘라도 다시 자라나는 히드라처럼, 이 RAT는 프로세스를 종료해도, 파일을 삭제해도, 레지스트리를 정리해도 자동으로 부활합니다.
4중 생존 메커니즘으로 인해 포맷 외에는 사실상 제거할 방법이 없었습니다.
4중 생존 메커니즘
Layer 1 — 워치독 프로세스
메인 프로세스와 감시 프로세스가 서로를 감시합니다. 하나가 종료되면 나머지가 즉시 재실행합니다.
Layer 2 — Windows 서비스 등록
정상적인 Windows 서비스명을 모방하여 부팅 시 OS보다 먼저 실행됩니다.
Layer 3 — 다중 레지스트리 백업
5개 이상의 레지스트리 위치에 분산 등록. 하나를 삭제해도 나머지가 복구합니다.
Layer 4 — 커널 드라이버 은닉
커널 레벨 드라이버가 파일, 프로세스, 레지스트리를 OS로부터 은닉합니다.
C&C 자동 업데이트
C&C 서버에 새 버전이 등록되면 감염된 모든 PC가 자동으로 업데이트합니다. 백신 시그니처가 배포되어도 하루 만에 새 버전으로 교체되어 다시 탐지를 회피합니다.
백신사의 패배 선언
"HydraRAT은 4중 생존 메커니즘과 커널 은닉의 결합으로 인해, 백신의 실시간 감시와 수동 검사 모두를 우회합니다. 감염이 확인된 경우, OS 재설치(포맷)만이 유일한 해결책입니다."
소스코드 공개
핵심 Assembly 모듈(커널 드라이버, 워치독, 자가 복구 엔진) 약 8,000줄의 x86 Assembly + C 코드를 공개했습니다.
배포 중지
백신사의 "제거 불가능" 판정이 뉴스에 보도된 후, HydraRAT의 존재 자체가 사회적 불안 요소가 되었습니다. 포맷 외에 해결 방법이 없다는 사실이 일반 사용자들에게 공포감을 주었습니다.
- Assembly 소스코드 삭제
- C&C 서버 영구 폐쇄
- 배포 서버 및 미러 전량 삭제
- 커널 레벨 공격 도구 개발 영구 중단
"제거할 수 없는 도구를 만들었다는 것은 기술적 성취였다. 하지만 그것은 동시에 가장 큰 실패이기도 했다."
기술 사양
| 개발 언어 | C + x86 Assembly |
| 소스코드 | 핵심 모듈 8,000줄 공개 (현재 삭제) |
| 핵심 기술 | 4중 생존 메커니즘, VxD/SYS 커널 드라이버, C&C 자동 업데이트 |
| 지원 OS | Windows 95 / 98 / ME / NT 4.0 / 2000 |
| 실행 파일 크기 | 서버 156KB / 클라이언트 310KB |
| 개발 기간 | 1999년 6월 ~ 2000년 5월 |
| 최종 상태 | 영구 배포 중지 · 소스 삭제 · C&C 폐쇄 (2000년 9월) |