사용자 삽입 이미지

USB 자동 실행관련 레지스트리 키


USB 자동 실행관련 레지스트리 키

Windows 95/98 이나 2000 은 MountPoints
(2가 빠짐)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2(CLSID 값)Shell\Autorun

'Reverse Engineering > Windows Internals' 카테고리의 다른 글

USB 자동 실행관련 레지스트리 키  (0) 2007.11.10
SEH  (0) 2007.08.27
TLS Callback  (0) 2007.06.20
Posted by mstoned7

댓글을 달아 주세요


요즘 USB 메모리나 외장형 하드디스크를 통해 전파되는 악성코드가 증가하고 있다.
프로세스가 실행 중일 떄는 악성코드 실행 파일과 autorun.inf 파일을 삭제해도 다시 생성해 사용자 입장에서는 지워도 지워도 치료가 안되는 것처럼 보이게 한다.

발견된지는 오래되었지만 USB 드라이브에 자신의 사랑을 얘기하는 악성코드가 존재한다.

- 생성 파일명 : Edelin_X.exe
- 파일길이 : 32,768 바이트
- MD5 : 3ca1a6fe4c3eb75f580b988d06ae26c4
- V3 진단명 : Win32/Autorun.worm.32768.B (2007.10.26.00 엔진 이후 진단)

이 악성코드는 실행 파일과 autorun.inf 외에 Surat Untuk Edelin.txt 파일이 생성되며 아래 내용을 담고 있다.

Dearest Edelin bt. Baharum

    ***     ***
  *     * *     *
 *       *       *
 *               *
 *               *
  *             *
   *           *
     *       *
       *   *
         *

From:
ur_edmirer@yahoo.com

011001010110010001100101011011000110100101101110
011010010110110001101001011010110110010101110101


Posted by mstoned7

댓글을 달아 주세요

  1. 지나가는이 2007.10.26 11:41  댓글주소  수정/삭제  댓글쓰기

    - V3 진단명 : Win32/Autorun.worm.32768.B (2007.11.26.00 엔진 이후 진단)

    앗!! 한달후에나 진단(?) ^^;;;;

* 샘플코드 : IK07061311568-000199
* 길이 : 24,785
* MD5 : 36af4b74ade9a895385ced6263e8b40b

악성코드의 프로그램 방해는 여러가지가 있지만 지금까지 못보던 방법이 나왔다.
(물론 이미 사용되었겠지만..)

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
에 실행을 막을 파일 이름을 악성코드 자신으로 지정한 것이다.


사용자 삽입 이미지

레지스트리 변경 화면


만약 악성코드가 삭제되면 해당 파일을 실행하면 오류가 발생한다.

사용자 삽입 이미지

REGEDIT 나 AUTORUNS.EXE 로 키를 삭제해야한다.
하지만, AUTORUNS.EXE는 실행을 막고 있으므로 AUTORUN.EXE 과 같은 이름으로 변경해서 실행하면 된다.

사용자 삽입 이미지

Posted by mstoned7

댓글을 달아 주세요

  1. pcaccent 2007.07.05 23:27  댓글주소  수정/삭제  댓글쓰기

    (저 파일... 삽질하면서 보던것 같은데... 제가 찾은게 맞다면... 글 올리는데 좀 떨리는데요...)

    저 파일 만든 generator로 그냥 버튼 하나만 누르면 레지스트리, 파일 모두다 복구(완전히는 아니지만, 찌꺼기가...)된더네요...

    그리고 세번쨰 그림보니까... 이미 파일을 지우신듯? 맞죠? ㅋㅋㅋ

  2. mstoned7 2007.07.08 10:27 신고  댓글주소  수정/삭제  댓글쓰기

    그림은 원래 4개였는데 악용(레지스트리 키값) 때문에 삭제했습니다.
    그림은 악성코드 파일을 지우고 테스트 해봤죠.