1. 개요
Autorun의 증상 가운데 정상 폴더와 파일의 속성을 숨김 속성으로 바꾸어 파일을 숨기고, 폴더명과 동일한 파일명의 실행 파일을 생성하여 사용자로 하여금 백신프로그램이 정상적인 프로그램을 삭제한다는 이슈가 발견되고 있어 관련 증상 및 조치가이드를 안내해 드립니다.
2. 주요증상
악성코드가 실행되면 USB 폴더 내(또는 C:나 D:등의 특정폴더)의 정상적인 폴더를 숨김 속성으로 바꾼 후 정상적인 폴더명과 폴더 모양의 아이콘을 갖는 실행 파일(.exe)을 생성합니다. 아이콘 모양이 폴더모양과 동일하지만 아래 [그림 1]과 같이 [보기]속성을 변경할 경우 실행 파일이라는 것을 알 수 있습니다. (해당 실행 파일은 악성코드의 복사본입니다.)
[그림 1] 폴더 보기속성 변경
[그림 2] 감염시스템에서 확인된 악성 실행파일
이 악성코드는 많은 변종이 있으나 V3에서는 현재까지 발견된 악성코드는 아래와 같이 대부분 진단하고 있습니다.
[그림 3] 악성코드 치료화면
3. 치료방법
최신엔진으로 업데이트 한 V3 Lite의 정밀 검사 기능을 통해 해당 악성코드를 치료하실 수 있습니다.
[그림 4] 악성코드 치료화면
테스트 시 V3 Lite 정밀 검사 결과 총 11건의 감염 된 파일과 진단명이 확인됩니다.
해당 백신을 통해 감염된 파일을 치료합니다.
치료 후 다시 정밀 검사를 해보면 감염된 파일이 없는 것으로 확인됩니다.
[그림 5] V3 검사화면
V3 Lite를 통해 USB 폴더를 검사해보겠습니다.
[그림 6] USB에 생성된 악성코드 치료화면
실행 후 생성되었던 감염된 파일을 정상적으로 치료합니다.
바이러스 신고센터로 접수되는 문의 중 악성코드 치료 후 정상파일이 삭제되었다는 문의가 다수 접수되고 있으나 이는 정상파일을 삭제한 것이 아니라 정상적인 폴더를 가장한 악성코드를 삭제하는 것입니다. 정상폴더와 파일들은 악성코드가 속성을 숨김 속성으로 변경해 놓아 탐색기상에서 보이지 않는 것입니다. 치료 후 USB 폴더를 보면 아래와 같이 빈 폴더로 나오지만 등록정보를 확인해 보면 252MB가 사용중임을 알 수 있습니다. 백신에서 이 부분을 변경하지 않는 이유는 특정 사용자의 경우 특정 폴더나 파일들을 숨김 속성으로 변경하여 사용하는 경우도 있고, 운영체제상에서 사용자가 실수로 운영체제의 중요파일을 삭제하는 것을 방지하기 위해 숨김 속성으로 사용하는 경우가 있기 때문입니다.
[그림 7] 정상폴더와 파일들이 숨겨진 상태
4. 치료 후 폴더 복원 방법
사라진 폴더의 복원은 아래와 같은 명령어를 이용하여 간단히 해결할 수 있습니다.
1) [시작] – [실행]창에서 ‘cmd’를 입력하여 도스 명령창을 띄웁니다.
2) 아래 명령어를 이용하여 정상적인 파일들이 삭제된 경로로 이동합니다.
– USB메모리나 E: 파티션에 감염되었다고 가정할 경우 : ex) E: (엔터키)
– C:windows 폴더에 감염되었다고 가정할 경우 : ex) cd c:windows (엔터키)
3) 아래와 같이 명령어를 입력합니다.
위의 명령어를 통해 폴더의 숨김 속성을 해제하면 정상적인 폴더가 나타납니다.
Categories:조치 가이드