본문 바로가기

조치 가이드

Autorun 관련 악성코드 조치 가이드!

 

1.    개요

Autorun의 증상 가운데 정상 폴더와 파일의 속성을 숨김 속성으로 바꾸어 파일을 숨기고, 폴더명과 동일한 파일명의 실행 파일을 생성하여 사용자로 하여금 백신프로그램이 정상적인 프로그램을 삭제한다는 이슈가 발견되고 있어 관련 증상 및 조치가이드를 안내해 드립니다.

 

 

2.    주요증상

악성코드가 실행되면 USB 폴더 내(또는 C:\ D:\등의 특정폴더)의 정상적인 폴더를 숨김 속성으로 바꾼 후 정상적인 폴더명과 폴더 모양의 아이콘을 갖는 실행 파일(.exe)을 생성합니다. 아이콘 모양이 폴더모양과 동일하지만 아래 [그림 1]과 같이 [보기]속성을 변경할 경우 실행 파일이라는 것을 알 수 있습니다. (해당 실행 파일은 악성코드의 복사본입니다.)

 

[그림 1] 폴더 보기속성 변경

  

[그림 2] 감염시스템에서 확인된 악성 실행파일

 

이 악성코드는 많은 변종이 있으나 V3에서는 현재까지 발견된 악성코드는 아래와 같이 대부분 진단하고 있습니다.

 

[그림 3] 악성코드 치료화면

 

3.    치료방법

최신엔진으로 업데이트 한 V3 Lite의 정밀 검사 기능을 통해 해당 악성코드를 치료하실 수 있습니다.

 

[그림 4] 악성코드 치료화면

 

테스트 시 V3 Lite 정밀 검사 결과 총 11건의 감염 된 파일과 진단명이 확인됩니다.

해당 백신을 통해 감염된 파일을 치료합니다.

 

치료 후 다시 정밀 검사를 해보면 감염된 파일이 없는 것으로 확인됩니다.

 

[그림 5] V3 검사화면

 

V3 Lite를 통해 USB 폴더를 검사해보겠습니다.

 

[그림 6] USB에 생성된 악성코드 치료화면

 

실행 후 생성되었던 감염된 파일을 정상적으로 치료합니다.

 

바이러스 신고센터로 접수되는 문의 중 악성코드 치료 후 정상파일이 삭제되었다는 문의가 다수 접수되고 있으나 이는 정상파일을 삭제한 것이 아니라 정상적인 폴더를 가장한 악성코드를 삭제하는 것입니다. 정상폴더와 파일들은 악성코드가 속성을 숨김 속성으로 변경해 놓아 탐색기상에서 보이지 않는 것입니다. 치료 후 USB 폴더를 보면 아래와 같이 빈 폴더로 나오지만 등록정보를 확인해 보면 252MB가 사용중임을 알 수 있습니다. 백신에서 이 부분을 변경하지 않는 이유는 특정 사용자의 경우 특정 폴더나 파일들을 숨김 속성으로 변경하여 사용하는 경우도 있고, 운영체제상에서 사용자가 실수로 운영체제의 중요파일을 삭제하는 것을 방지하기 위해 숨김 속성으로 사용하는 경우가 있기 때문입니다.

 

[그림 7] 정상폴더와 파일들이 숨겨진 상태

 

 

4.    치료 후 폴더 복원 방법

 

사라진 폴더의 복원은 아래와 같은 명령어를 이용하여 간단히 해결할 수 있습니다.

 

1)     [시작] - [실행]창에서 ‘cmd’를 입력하여 도스 명령창을 띄웁니다.

 

2)     아래 명령어를 이용하여 정상적인 파일들이 삭제된 경로로 이동합니다.

- USB메모리나 E:\ 파티션에 감염되었다고 가정할 경우 : ex)  E:  (엔터키)

- C:\windows 폴더에 감염되었다고 가정할 경우        : ex)  cd c:\windows  (엔터키)

 

3)     아래와 같이 명령어를 입력합니다.

 


위의 명령어를 통해 폴더의 숨김 속성을 해제하면 정상적인 폴더가 나타납니다.

[그림 8] 숨겨졌던 정상폴더가 나타난 모습

 

5.    기타 추가

ü  레지스트리 수동 삭제

모든 치료를 마쳤지만 계속해서 동일한 증상이 나타날 수 있습니다. 그럴 경우에는 아래와 같이 레지스트리편집기에서 해당 값을 찾아 수동으로 삭제해 주시기 바랍니다.

 

(1)    [시작]-[실행]-[열기]부분에 'regedit'(따옴표제외)를 입력하고 확인

(2)    아래 키로 이동

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints

정상적인 A, C, D, E...... 를 제외한 CLSID ({랜덤문자.... })으로 표기된 폴더를 모두 삭제하고 재 부팅 하시면 됩니다.

 

ü  폴더 모양을 가장한 실행 파일

폴더 모양으로 가장하여 더블 클릭을 유도하는 실행파일이 있을 수 있으므로 각별한 주의가 필요합니다. 이를 확인 할 수 있는 방법은 이 글 서두에서 이미 다루었습니다.

 

 

6.    마치며...

지금까지 오토런 웜(Autorun Worm)에 관하여 알아보았습니다. 자동실행 기능은 정상적으로 Windows에서 제공하는 서비스이며 분명 우리에게 편리한 기능입니다. 하지만 현실에서는 그 편리성보다는 이를 악용한 악성코드의 위험성이 더욱더 대두되고 있습니다. 이에 대응하기 위하여 우리는 평소 보안 패치를 충실히 수행하는 등 사용자 스스로의 관심과 실천으로 내 컴퓨터와 내 정보를 보호를 해야 할 것입니다.

감사합니다. ^_^


  • 이전 댓글 더보기
  • 부탁드려요 2010.12.10 18:17 신고 댓글주소 수정/삭제 댓글쓰기

    부탁드려요ㅠ-ㅠ cmd로 명령어 입력 하려고 하는데 프롬프트를 막아놓았다고 나왔는데요... 그래서 감춰있던 파일들이 안 보이네요..ㅠ-ㅠ 도와주세요

  • 제발도와주세요 ㅠㅠ 2010.12.31 14:07 신고 댓글주소 수정/삭제 댓글쓰기

    바이러스 삭제 하고 E:이거 하니까 장치가 연결이 안되있다고 나와요 ㅠㅠ

    분명히 저번에도 이바이러스 걸렸는데 그때는 됬거든요?ㅠㅠ

    분명히 usb가 연결되있는데 왜 장치가 없다고 나오는거죠?ㅠㅠㅠ

  • 제발도와주세요 ㅠㅠ 2010.12.31 14:13 신고 댓글주소 수정/삭제 댓글쓰기

    V3lite로 치료하자마자 다시 또 그증상이 나타나요 ㅠㅠ 어떡해야 하죠?ㅠㅠ

  • 정말 감사합니다 2011.01.03 15:08 신고 댓글주소 수정/삭제 댓글쓰기

    덕분에 복구 했네요^^ 감사합니다(__)

  • 그런데 ㅠ 2011.03.06 18:21 신고 댓글주소 수정/삭제 댓글쓰기

    그런데 dmp에서 E:가 먼저 나오게 어떻게 하나요 ㅠ 입력을못하겟어요 자꾸 c:먼저 떠서요 ㅠ 원격으로 도와주세요 ㅠ

  • 김진수 2011.03.29 10:21 신고 댓글주소 수정/삭제 댓글쓰기

    덕분에 무사히 복구했습니다. 정말 감사드립니다.

  • 비밀댓글입니다

  • 진짜너무감사합니다 2011.04.27 01:01 신고 댓글주소 수정/삭제 댓글쓰기

    문의드렸을때도 친절하게 답변해주셨는데
    제가 잘몰라서 한번 더 문의드렸을때 직접 전화까지주시고
    그 덕분에 파일 다 복구됬어요^____^
    진짜 정말감사합니다

  • ㅇㅇㅇㅇ 2011.05.08 11:29 신고 댓글주소 수정/삭제 댓글쓰기

    와 진짜 고마워요
    이런거 처음해보는데
    어려워 보였는데
    되니까 신기하네요 ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ감사합니다!

  • 진짜감사합니다... 2011.05.22 00:27 신고 댓글주소 수정/삭제 댓글쓰기

    정말 너무너무 감사합니다.
    파일이 날아가서 울 뻔 했는데
    복구했어요ㅜㅜㅜㅜㅜㅜㅜㅜㅜㅜ
    너무너무 감사합니다!!!!!!!!!!!!!!!!!!!!

  • ning2763 2011.06.09 18:24 신고 댓글주소 수정/삭제 댓글쓰기

    바이러스에 의해 사라진 폴더는 복구되었긴 한데
    또 이런 현상이 계속 나타나니 큰일이네요...
    다른 컴퓨터(학교 컴퓨터)로 USB를 연결하면서 바이러스에 감염된 건가요? ㅠㅠ
    (참고로 그 컴퓨터는 레지스트리가 안열립니다.)

    • 음... 2011.06.10 14:54 신고 댓글주소 수정/삭제

      V3 옵션에 CD/USB 자동실행 방지해주는게 있습니다. 그거 활성화를 하시면 오토런에 안걸립니다.

  • 여기요 2011.06.16 08:12 신고 댓글주소 수정/삭제 댓글쓰기

    일반 MP3 같은 경우 음원파일이 숨겨져 있어도 MP3 기기상에서는 음원파일이 보이지 않나요??!!

    윈도우 상에서만 숨겨져 있을뿐이지 MP3 기기 상에서는 탐색도 되고 재생도 되는지 궁금합니다아.

  • 스카이워커 2011.06.17 07:26 신고 댓글주소 수정/삭제 댓글쓰기

    게시하신 방법대로 했는데 그래도 보이질 않습니다.
    저는 외장하드 인데요. G: 로 설정되어 있습니다.

    그래서, 실행메뉴에서 'cmd'실행하고
    명령어 'G:' 하고
    'G:attrib /s /d -s -h *.*' 입력했는데도
    G:의 내용 폴더들이 보이질 않습니다.

    도와주세요오~~ㅜㅜ

  • 난가소수 2011.06.27 10:41 신고 댓글주소 수정/삭제 댓글쓰기

    WIN7 사용자입니다. cmd 입력 후 F:엔터 attrib /s /d 등 사용 방법대로 했는데 사용할 수 없는 명령인가 뭘로 뜨길래
    수동인 regedit로 들어가서 A.B.C와 같은 것만 남기고 삭제 그리고 리부팅했는데 숫자는 줄었지만 다시
    삭제된 그런 명령어들이 생겨 USB를 볼수가 없습니다.
    V3로 몇번 바이러스 검색하고 했는데 결과가 같으네요!! USB의 자료가 없으면 안되는데..
    방법 좀 부탁 드립니다.

  • 정말 고맙습니다. 이 바이러스 때문에 포맷하고, 포맷 후에도 파일이 숨김처리 되어서 어떻게 해야하나 무지 막막했는데, 덕분에 정말 잘 해결했습니다. 진심으로 감사의 말씀을 올리며, 앞으로도 잘 부탁드리겠습니다.

  • 제발요ㅜㅜ 2011.08.18 12:00 신고 댓글주소 수정/삭제 댓글쓰기

    저기 제어판에서 폴더옵션이 사라져버렸는데 어떻게 해야되나요?

    • 2011.08.18 16:23 신고 댓글주소 수정/삭제

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=83
      이걸 한번 써보면 좋을것 같네요.

  • 제발요ㅜㅜ 2011.08.18 13:04 신고 댓글주소 수정/삭제 댓글쓰기

    Win-Adware/WindowSmart.77824
    Win-Adware/WindowSmart.53248
    Win-Adware/WindowSmart.77824 이 세개가 치료가 안되는데 어떻게 해야하나요?

  • 김기범 2011.08.23 13:18 신고 댓글주소 수정/삭제 댓글쓰기

    너무나 감사드려요.
    정말 중효한 파일 30개가 사라졌는데....
    귀한 정보로 포맷하기전에 찾아서요...

    가치로 따지면 엄청난 것이었는데ㅣ

    1:1문의에 대가없이 응답까지 해주시니 정말 감사합니다.
    안철수연구소... 정말 이름값하는 아름다운 회사입니다.

  • 짱이네요 2011.09.28 14:44 신고 댓글주소 수정/삭제 댓글쓰기

    이전에도 고생해서 다 포맷해버렸었는데 이번에는 자료들을 전부 살릴수 있었습니다.....
    정말 고맙습니다.

  • 우와ㅠㅠㅠ 2011.10.07 18:55 신고 댓글주소 수정/삭제 댓글쓰기

    정말감사해요ㅠㅠㅠㅠㅠㅠ
    저번에도 이래서 고친다고 고생했었는데ㅜㅜㅜㅜㅜㅜ
    pmp가 정말 꼭필요했었는데 ㅜㅜ 감사해요ㅜㅜ