악성코드/악성코드 소식

특정 파일 실행을 방해하는 악성코드

쿨캣7 2007. 7. 5. 17:32
728x90
반응형
* 샘플코드 : IK07061311568-000199
* 길이 : 24,785
* MD5 : 36af4b74ade9a895385ced6263e8b40b

악성코드의 프로그램 방해는 여러가지가 있지만 지금까지 못보던 방법이 나왔다.
(물론 이미 사용되었겠지만..)

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
에 실행을 막을 파일 이름을 악성코드 자신으로 지정한 것이다.


사용자 삽입 이미지

레지스트리 변경 화면


만약 악성코드가 삭제되면 해당 파일을 실행하면 오류가 발생한다.

사용자 삽입 이미지

REGEDIT 나 AUTORUNS.EXE 로 키를 삭제해야한다.
하지만, AUTORUNS.EXE는 실행을 막고 있으므로 AUTORUN.EXE 과 같은 이름으로 변경해서 실행하면 된다.

사용자 삽입 이미지

728x90
반응형