“내 문서”, “바탕화면” 등에 있던 파일들이 모두 사라졌다?

1. 서론

임의의 시스템 계정을 등록 및 활성화 시켜 마치 사용자로 하여금 “내 문서”, “바탕 화면” 등에 있던 파일이 사라진 듯한  증상을 보이는 악성 배치 파일이 발견되어 정보 공유 차원에서 작성한다.

2. 감염 시 나타나는 증상

아래 [그림 1]과 같이 악성 배치 파일 (batch file) “Edugate fucker.bat” 파일과 마이크로소프트 (Microsoft)에서 배포하는 “subinacl.exe” 파일이 함께 유포되고 있다.


[그림 1] 악성 배치 파일과 정상 subinacl.exe 파일

사용자가 악성 배치 파일을 Edugate fucker.bat 을 실행하게 되면 “edugatefuck” 이라는 계정이 등록되게 되며 “edugatefuck” 계정이 활성화 되게 된다.  또한 “edugatefuck” 계정은 관리자 그룹으로 등록이 된다. 그리고 마이크로소프트에서 배포하는 subinacl이라는 파일을 악용하여 시작 프로그램의 권한을 제한하여 실행되지 않도록 수정된다.

마이크로소프트 (Microsoft)에서 배포하는 subinacl이라는 유틸은 권한 및 소유권을 변경하는 기능을 가지고 있다. 

이제 사용자는 아래 [그림 2]와 같이 “edugatefuck” 계정으로 윈도우에 로그인하게 된다.

 

[그림 2] 악성 배치 파일에 의해 임의로 생성된 edugatefuck 계정으로 로그인

edugatefuck 계정으로 로그인하게 되어 [그림 3] 처럼 사용자는 기존에 사용하던 “내 문서”나 “바탕 화면” 에 있던 파일들이 없어진 것처럼 느끼게 된다. 

다시 말해서, 기존에 사용하던 계정으로 로그인 한 것이 아니기 때문에 기존 계정에서 사용했던 파일들이 없어진 것처럼 느껴지게 되는 것이다.


[그림 3] 악성 배치 파일로 생성된 edugatefuck 계정으로 윈도우로 로그인 후

3. 조치 방법

아래와 같이 계정을 수동으로 제거한다.

1) 아래 [그림 4]와 같이 “내 컴퓨터” 우클릭 후 “관리” 클릭.

 

[그림 4] “컴퓨터 관리” 창 실행 방법

2) “컴퓨터 관리” 창에서 왼쪽에 [로컬 사용자 및 그룹] – [사용자] 를 선택

3) 창 오른쪽에 악성 배치 파일에 의해 임의로 등록된 “edugatefuck” 계정 우클릭 후 “삭제” 클릭.

[그림 5] 계정 삭제 방버
상기와 같이 삭제를 완료한 후 리부팅을 하게 되면 원래 사용하던 계정으로 로그인하게 되며 기존에 사용하던 파일들을 다시 확인할 수 있다.

V3 에서는 아래와 같이 해당 악성 배치 파일을 BAT/Adduser 진단명으로 진단하고 있다.

[그림 6] V3 진단

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments