VBS/Autorun 악성코드 감염사례 및 치료, 예방방법

1. VBS(Visual Basic Script)와 VBS 이용 악성코드 작성 이유 

 요즘에는 전문서적뿐 아니라 인터넷의 정보를 이용하면 누구나 유해 가능한 악성코드를 손쉽게 만들 수 있습니다. 이러한 악성코드를 제작하는데 있어 많이 사용되는 것이 바로 VBS(Visual Basic Script)입니다. 그래서 빈번하게 퍼지고 있는 유해 악성프로그램(바이러스, 웜, 백도어, 트로이목마 등)의 종류를 보면 VBS를 이용하여 제작된 것이 많습니다.

 VBS란 비주얼 베이직의 서브세트로써, 넷스케이프 커뮤니케이션즈사에서 개발한 자바 스크립트와 마찬가지로 MS사의 인터넷 익스플로러, IIS (Internet Information Server)에서 실행 가능한 스크립트 언어로 비주얼 베이직 문법에 기초를 두고 제작되어 HTML문서 안에 스크립트를 두고 동적으로 처리하는 언어이며 대화형 월드 와이드 웹(WWW) 홈 페이지를 작성하기 위하여 사용됩니다. 또 액티브 X 제어(Active X control)나 자바 애플릿(Java applet)을 조작할 수 있는 특징을 갖고 있습니다.

 따라서 일반적인 프로그램 제작 언어(어셈블러, C 등)에 비하여 프로그램 분석이나 제작이 쉬울 뿐 아니라 기존의 프로그램을 변형하는 것도 쉬워 변종 바이러스가 많이 나타나고 있는 문제점을 안고 있는 상황입니다. 일단 피해를 입으면 데이터의 복구가 어려워지는 특징이 있어, 한번에 많은 데이터 손실의 위험이 있습니다. 이와 같이 VBS를 이용한 악성코드가 나타나는 이유는 앞에서 설명한 제작의 간편함 뿐만 아니라 대부분의 컴퓨터 사용자가 설치하고 있는 OS인 Windows가 COM(Common Object Model)형식으로 제작되어 VBS와 같은 간단한 스크립트 만으로도 여러 가지 종류의 응용프로그램에 접근이 가능하다는 취약점이 있기 때문입니다.

 

2. VBS/Autorun 악성코드 감염 여부 확인방법

1) VBS 악성코드에 감염이 되면 아래 그림과 같이 wscript.exe 가 활성화 되는 것을 볼 수 있습니다.

 

[그림] 작업 관리자 창에 새로 추가된 wscript.exe

 

2) MyMP3와 같은 VBS/Autorun 악성코드에 감염된 이동식디스크를 PC에 연결한 뒤 폴더내용을 확인하기 위해 이동식디스크를 더블 클릭하게 되면 Autorun으로 인해 위의 그림과 같이 자동으로 PC에 감염이 됩니다. 감염된 이동식디스크가 PC에 연결되어 폴더내용을 확인할때 실행되는 Autorun으로 방식으로 다수의 PC를 감염시키게 됩니다. 보통 악성코드는 보통 숨김파일로 존재하기 때문에 사용자가 파악하기 쉽지 않습니다. 아래 그림은 숨김파일을 해제한 후 보여지는 악성코드입니다.

 

[그림] 이동식디스크와 로컬디스크(C:)에 악성코드(MyMP3)에 감염된 모습

 

3. 치료 및 권장사항

1) V3Lite의 실시간 검사를 항상 유지합니다. V3엔진에 추가된 악성코드라면 폴더내용을 확인하기 위해 이동식디스크 더블클릭 하는 순간 아래 그림과 같이 악성코드를 발견하게 됩니다.

 

[그림] V3 Lite의 실시간 감지기의 VBS/Autorun 악성코드 발견

 

2) 이미 감염되었다고 의심이 되는 경우 v3Lite의 정밀검사를 통해 악성코드를 치료합니다.

 

[그림] V3 Lite로 VBS/Autorun 악성코드를 치료하는 모습

 

3) 자동실행(Autorun) 실행방지 방법

 안철수연구소에서 제공하는 Autorun 실행 방지 프로그램을 다운로드 받아 설치합니다.

아래에 안내해 드리는 프로그램은 안철수연구소에 자체 제작한 프로그램으로 이동식디스크를 더블 클릭시에 작동하는 Autorun의 실행을 방지하여 다수의 Autorun 악성코드의 감염을 예방할 수 있습니다.

 [USB Block 다운로드]

 

 

4. 끝으로..

 퍼져있는 모든 악성코드를 조기에 발견하여 치료하는 것이 가장 좋은 방법입니다. 하지만 매일 무수히 만들어지는 모든 악성코드에 미리 대응하는 것은 현실적으로 어렵다고 할 수 있습니다. 이미 퍼져있는 악성코드의 확산을 막는 것과 새로 만들어진 악성코드에 최대한 빠른 대응을 통해 사용자 피해를 최소화 하는 것이 저희 ASEC대응팀의 임무라고 생각합니다. 또한 대부분의 악성코드들은 VBS/Autorun 악성코드와 같이 사용자가 인식하지 못하는 상태에서 확산되는 경우가 대부분입니다. 그러므로 사용자들 또한 주기적인 백신 업데이트 및 검사를 통해 피해를 막는 것이 중요하다고 생각합니다.

 

이것으로 저희 첫 블로그 포스팅을 마치겠습니다.

감사합니다^^)/