오토런 악성코드는 루트 디렉토리에 ( C: 또는 D: ) autorun.inf 파일을 생성하여 사용자가 탐색기를 사용하여 드라이브를 액세스할 때 자동으로 타겟 악성코드를 실행하게 됩니다. 그리고 오토런 악성코드는 자신을 숨기기 위해 탐색기의 폴더옵션 중 [숨김 파일 및 폴더 표시] 기능을 자동으로 해제합니다. 사용자가 이 기능을 사용하려고 할 때마다 자동으로 해제해버리기 때문에 숨겨진 파일의 속성을 해제하거나 IceSword 등의 툴을 사용해야 파일을 확인할 수 있습니다.


아래 그림을 보시면 IceSword를 이용하여 C: 드라이브에 autorun.inf 파일이 생성된 것을 확인할 수 있습니다. autorun.inf 파일을 선택한 후 우클릭 후 "Copy to" 옵션을 사용하여 수집할 수 있습니다.


툴을 사용하지 않고 수집하는 다른 방법은 아래와 같습니다.

1) [시작]-[실행]-[열기]부분에 'cmd' (따옴표제외)를 입력하고 확인
2) cd\ (엔터) -> 루트로 이동하기 위함
3) attrib -s -h -a -r autorun.inf (엔터) -> 속성해제


다음 글에서 수집된 autorun.inf 파일을 이용하여 실제 악성행위를 하는 파일을 수집하고 삭제하는 방법을 알아보도록 하겠습니다.
신고
Posted by 비회원