오토런 악성코드는 루트 디렉토리에 ( C: 또는 D: ) autorun.inf 파일을 생성하여 사용자가 탐색기를 사용하여 드라이브를 액세스할 때 자동으로 타겟 악성코드를 실행하게 됩니다. 그리고 오토런 악성코드는 자신을 숨기기 위해 탐색기의 폴더옵션 중 [숨김 파일 및 폴더 표시] 기능을 자동으로 해제합니다. 사용자가 이 기능을 사용하려고 할 때마다 자동으로 해제해버리기 때문에 숨겨진 파일의 속성을 해제하거나 IceSword 등의 툴을 사용해야 파일을 확인할 수 있습니다.
아래 그림을 보시면 IceSword를 이용하여 C: 드라이브에 autorun.inf 파일이 생성된 것을 확인할 수 있습니다. autorun.inf 파일을 선택한 후 우클릭 후 "Copy to" 옵션을 사용하여 수집할 수 있습니다.
툴을 사용하지 않고 수집하는 다른 방법은 아래와 같습니다.
1) [시작]-[실행]-[열기]부분에 'cmd' (따옴표제외)를 입력하고 확인
2) cd\ (엔터) -> 루트로 이동하기 위함
3) attrib -s -h -a -r autorun.inf (엔터) -> 속성해제
다음 글에서 수집된 autorun.inf 파일을 이용하여 실제 악성행위를 하는 파일을 수집하고 삭제하는 방법을 알아보도록 하겠습니다.
아래 그림을 보시면 IceSword를 이용하여 C: 드라이브에 autorun.inf 파일이 생성된 것을 확인할 수 있습니다. autorun.inf 파일을 선택한 후 우클릭 후 "Copy to" 옵션을 사용하여 수집할 수 있습니다.
툴을 사용하지 않고 수집하는 다른 방법은 아래와 같습니다.
1) [시작]-[실행]-[열기]부분에 'cmd' (따옴표제외)를 입력하고 확인
2) cd\ (엔터) -> 루트로 이동하기 위함
3) attrib -s -h -a -r autorun.inf (엔터) -> 속성해제
다음 글에서 수집된 autorun.inf 파일을 이용하여 실제 악성행위를 하는 파일을 수집하고 삭제하는 방법을 알아보도록 하겠습니다.
'악성코드 정보' 카테고리의 다른 글
| 도와줘요 안철수연구소! 악성코드 신고방법 (0) | 2009.09.01 |
|---|---|
| 오토런 악성코드 수집 및 삭제 (2) (0) | 2009.08.30 |
| Redirected Hostfile Entries 진단명 해결 방법 (30) | 2009.08.26 |
| 은폐된 악성파일 수집 및 삭제 방법(Gmer) (5) | 2009.08.24 |
| 의심파일 수집 방법(IceSword) (78) | 2009.08.24 |
댓글