최근 USB 플래쉬 같은 외장형 드라이브로 전파되는 악성코드 (흔히 autorun 웜)가 점점 진화하고 있습니다.

예전에는 autorun.inf 에 실행될 파일을 지정하는 형태였죠.

V3 진단명 기준 Win-Trojan/IRCBot.71680.B (VS08081300380-000001)을 보던 중 USB 플래쉬 메모리로도 전파되더군요.

USB 플래쉬 메모리에 다음 파일을 생성합니다.

- autorun.ini :

RECYCLERS-1-6-21-6875689567-0328346474-238463292-3211 폴더
- Desktop.ini : 폴더 설정
- usbdriver.exe : 악성코드

autorun.inf 는 다음 내용으로 구성되어 있습니다.

[autorun]
open=RECYCLERS-1-6-21-6875689567-0328346474-238463292-3211\usbdriver.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLERS-1-6-21-6875689567-0328346474-238463292-3211\usbdriver.exe
shell\open\default=1

autorun.inf 의 영향으로 USB 드라이브를 꽂으면 다음 메뉴가 새로 생깁니다.

'Open folder to view files - 장치에 제공된 프로그램 사용'

사용자 삽입 이미지
사용자 삽입 이미지

다행히 확인을 눌러줘도 버그인지 실행되지 않습니다.

사용자 삽입 이미지


그런 Desktop.ini 는 무엇일까요 ?

Desktop.ini 파일은 CLSID 값을 가지고 있습니다.
이 desktop.ini 파일 때문에 탐색기에서는 이 폴더를 [휴지통] 폴더로 생각하고 보여주지 않습니다 !
(옵션에서 숨김 파일이나 시스템 파일도 보이게 했습니다.)

사용자 삽입 이미지


즉, 탐색기만 사용하는 일반적인 사용자는 감염된 시스템에서는 악성코드를 찾아 삭제하기가 상당히 어렵습니다.

단, NexusFile (http://www.xiles.net/) 같은 쉘 프로그램을 사용하면 파일 확인 가능합니다.

쉘 프로그램이 없다면 명령 프롬프트에서 다음과 같이 desktop.ini 를 삭제해줘야 파일이 보입니다.

사용자 삽입 이미지

desktop.ini 가 삭제되면 일반 폴더로 바뀌면서 탐색기에서 파일을 찾을 수 있습니다.

불필요한 파일을 삭제하면 됩니다.
(물론 명령 프롬프트에서 attrib.exe 로 파일 속성을 모두 해제 후 del *.* 로 모든 파일을 삭제해도됩니다.)

사용자 삽입 이미지

Posted by mstoned7

댓글을 달아 주세요