'autorun 바이러스'에 해당되는 글 2건

  1. 2009.04.20 자동 실행 기능 비활성화 방법 (4)
  2. 2008.08.14 autorun 웜의 진화 - 탐색기에서 숨는 웜

마이크로소프트사에서는 USB 플래쉬 메모리(USB 드라이브)로 대표되는 이동식 저장 디스크를 통한 악성코드 배포가 증가함에 따라(아마도) 윈도우에서 자동 실행 기능을 비활성화하는 방법을 공개했다.

- Windows 에서 자동 실행 기능을 비활성화하는 방법
http://support.microsoft.com/kb/967715

이 기능을 사용하기 위해서는 윈도우 업데이트가 필요하다.

- Windows XP용 업데이트(KB967715)

- Windows Server 2003용 업데이트(KB967715)

http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=32b845ac-7681-468c-812b-2dcebdae9b40

- Windows XP x64 버전용 업데이트(KB967715)

http://www.microsoft.com/downloads/details.aspx?FamilyID=ca802f38-0566-4ac4-8808-6515623c35c5

- Windows 2000용 업데이트(KB967715)

http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=3c6039f1-d84d-4294-8457-35aa8b4dcab8


[방법] --- Windows XP 기준 다른 윈도우는 마이크로소프트사 정보 참고

1. gpedit.msc 으로 그룹 정책 실행



2. [컴퓨터 구성] - [관리 템플릿] - [시스템]을 선택



3. [자동 실행 사용 안 함]을 더블클릭하거나 오른쪽 버튼 누른 후 [속성] 선택




4. 자동 실행 사용 안 함 등록 정보에서 [사용] 선택하고 [모든 드라이브] 선택 (기본은 CD-ROM)



5. [자동 실행 사용 안함] 이 [실행] 중인지 확인


 

-[참고자료]

 

- AutoRun disabling patch released

http://isc.sans.org/diary.html?storyid=5938

 
- USB통한 사이버 침해 막을 수 있는 3가지 방법 (보안뉴스, 2009년 3월 10일)
http://www.boannews.com/media/view.asp?page=1&gpage=1&idx=14822&search=&find=&kind=0

Posted by mstoned7

댓글을 달아 주세요

  1. 이른아침에 2009.04.21 17:47 신고  댓글주소  수정/삭제  댓글쓰기

    제 노트북에서도 적용하려고 했는데... 비스타 홈 버전은 그룹관리를 지원 안 하더군요. ㅠ,ㅠ

    • mstoned7 2009.04.21 17:49 신고  댓글주소  수정/삭제

      아.. 비스타는 다르게 할 겁니다. MS 문서보면 비스타에서 적용방법 나오더군요. 그림도 같이 올린건 MS 문서에는 그림이 없고 글로만 되어 있어 보다 쉽게 하려고 했던 겁니다. 제가 비스타를 안써서요 비스타 그림은 안 올렸습니다.

    • 이른아침에 2009.04.22 11:00 신고  댓글주소  수정/삭제

      ms 문서에서도 gpedit.msc라고 나오는데, 해당 업데이트를 해봐도 죽어라 안 되더군요. 이상하다 싶어서 인터넷을 뒤져보니 홈 버전에선 그룹관리를 지원 안 한다고 하네요. ;ㅅ; xp도 그건 마찬가지더군요. orz...

  2. mbti 2009.04.23 04:43  댓글주소  수정/삭제  댓글쓰기

    비스타는 안 써봐서 모르겠는데...xp 홈 버전과...xp 프로페 버전이...다른 건 맞아요...^^;


최근 USB 플래쉬 같은 외장형 드라이브로 전파되는 악성코드 (흔히 autorun 웜)가 점점 진화하고 있습니다.

예전에는 autorun.inf 에 실행될 파일을 지정하는 형태였죠.

V3 진단명 기준 Win-Trojan/IRCBot.71680.B (VS08081300380-000001)을 보던 중 USB 플래쉬 메모리로도 전파되더군요.

USB 플래쉬 메모리에 다음 파일을 생성합니다.

- autorun.ini :

RECYCLERS-1-6-21-6875689567-0328346474-238463292-3211 폴더
- Desktop.ini : 폴더 설정
- usbdriver.exe : 악성코드

autorun.inf 는 다음 내용으로 구성되어 있습니다.

[autorun]
open=RECYCLERS-1-6-21-6875689567-0328346474-238463292-3211\usbdriver.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLERS-1-6-21-6875689567-0328346474-238463292-3211\usbdriver.exe
shell\open\default=1

autorun.inf 의 영향으로 USB 드라이브를 꽂으면 다음 메뉴가 새로 생깁니다.

'Open folder to view files - 장치에 제공된 프로그램 사용'

사용자 삽입 이미지
사용자 삽입 이미지

다행히 확인을 눌러줘도 버그인지 실행되지 않습니다.

사용자 삽입 이미지


그런 Desktop.ini 는 무엇일까요 ?

Desktop.ini 파일은 CLSID 값을 가지고 있습니다.
이 desktop.ini 파일 때문에 탐색기에서는 이 폴더를 [휴지통] 폴더로 생각하고 보여주지 않습니다 !
(옵션에서 숨김 파일이나 시스템 파일도 보이게 했습니다.)

사용자 삽입 이미지


즉, 탐색기만 사용하는 일반적인 사용자는 감염된 시스템에서는 악성코드를 찾아 삭제하기가 상당히 어렵습니다.

단, NexusFile (http://www.xiles.net/) 같은 쉘 프로그램을 사용하면 파일 확인 가능합니다.

쉘 프로그램이 없다면 명령 프롬프트에서 다음과 같이 desktop.ini 를 삭제해줘야 파일이 보입니다.

사용자 삽입 이미지

desktop.ini 가 삭제되면 일반 폴더로 바뀌면서 탐색기에서 파일을 찾을 수 있습니다.

불필요한 파일을 삭제하면 됩니다.
(물론 명령 프롬프트에서 attrib.exe 로 파일 속성을 모두 해제 후 del *.* 로 모든 파일을 삭제해도됩니다.)

사용자 삽입 이미지

Posted by mstoned7

댓글을 달아 주세요