본문 바로가기
악성코드 정보

호주 보안 컨퍼런스에서 악성코드에 감염된 USB 배포

by 알 수 없는 사용자 2011. 10. 27.

해외 외신인 CNET은 2010년 5월 21일 호주 보안 대응 조직인 AusCERT 주관의 보안 컨퍼런스 장소에서 IBM이 보안 컨퍼런스 참관자들에게 나누어준 USB 저장 장치에 악성코드가 감염된 것으로 "IBM: We distributed malware-ridden USB drives" 기사를 통해 보도 했다.



이번에 배포된 USB 저장 장치에서 발견된 악성코드는
Setup.exe (278,528 바이트)로 존재하였으며 해당 악성코드는 최근에 발견된 것은 아니며 2008년 12월 경에 최초 발견되었다.

이번 USB 저장 장치에서 발견된 해당 악성코드에 감염 되면 윈도우 폴더(C:\WINDOWS)에 자신의 복사본을
mem32.exe (278,528 바이트)로 생성한다.

그리고 중국 포털 사이트인 SOHU의 특정 메일 계정으로 시스템이 악성코드에 감염이 되었음을 알리고 윈도우 시스템 폴더(C:\WINDOWS\system32)에
logfile.txt 파일을 생성한다.

생성한
logfile.txt에는 감염된 시스템에서 이루어지는 키보드 입력과 실행 중인 프로그램 목록 등의 정보를 기록하며 이 외에 특정 TCP 포트(Port)를 열어두어 외부에서 임의로 접근 할 수 있도록 하고 있다.


이번 호주 보안 컨퍼런스에 배포된 USB에 감염된 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win32/Autorun.worm.278528.B

이러한 USB 저장 장치를 통해 전파되는 악성코드의 경우에는 윈도우 시스템의 자동 실행 기능으로 USB 저장 장치에 존재하는 Autorun.inf 설정에 따라 실행 파일이 실행되는 경우가 대부분이다.

USB 저장 장치의 자동 실행으로 인한 악성코드의 감염을 예방 위해서는 기업용 제품인 V3 Internet Security 8.0의 경우 "환경 설정""PC 검사 설정"을 보면 "USB 드라이버 검사"라는 기능을 활성화 하면 USB 저장 장치를 시스템에 연결시 해당 USB 저장 장치를 자동으로 검사 하게 된다.


그리고 "고급 설정"에 존재하는 "CD/USB 드라이브 자동 실행 방지" 기능을 활성화하면 USB 저장 장치를 연결하더라도 내부의 파일이 자동으로 실행되지 않도록하여 알지 못하는 악성코드 감염을 예방 할 수 있다.


일반 사용자들의 경우에는 한국 침해 대응센터(KrCERT/CC)에서 무료로 배포하는 자동 실행 기능 방지 프로그램을 다음 웹 사이트에서 다운로드하여 실행하는 것으로 USB 저장 장치로 유포되는 악성코드의 감염을 예방 할 수 있다.

 
그리고 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 기본 사항들을 숙지 할 필요가 있다.


1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저 또는 웹 사이트 링크를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

댓글