VBS/Autorun

GSPI + 숫자로 이루어진 VBS/Autorun 악성코드 대처법

 1. 서론  VBS 악성코드는 wscript을 이용하기 때문에 작성이 용이하여 높은 감염률을 보이고 있습니다. 이러한 VBS악성코드 중 특정 레지스트리 값을 변경하여 컴퓨터 사용에 장애를 유발하는 GSPI라는 이름의 악성코드에 대한 증상과 치료법에 대해 알아보도록 하겠습니다.   2. 악성코드 감염 시 나타나는 증상

폴더가 바로가기 아이콘으로 : ADS 형태로 실행되는 VBS/Autorun

최근 ADS(Alternate Data Stream)의 형태로 실행되는 VBS/Autorun 악성코드의 감염에 의한 피해가 꾸준히 발생되고 있습니다.   ADS(Alternate Data Stream)에 대한 정보는 아래의 링크를 참조하시기 바랍니다. 링크 : NTFS 파일 시스템의 숨겨진 영역 1. 감염증상 – 각 루트 드라이브(C:, D:, …)의 폴더들이 ‘바로가기’ 파일의 형태로 확인   – 바탕화면의 [내 컴퓨터]를 실행하여도 반응이 없음 – 레지스트리 편집기(Regedit.exe) 툴이 실행 후 바로 종료되는 등의 증상 발생 2. 생성파일 및 레지스트리 정보 – 아래의 파일이 생성 각 루트 드라이브에 [10자리 숫자].vbs, autorun.inf %Windir%explorer.exe:[10자리 숫자].vbs %Systemroot%system32 smss.exe:[10자리 숫자].vbs – 레지스트리 정보 bat, chm, cmd, hlp, inf, ini, reg, txt 파일들에 대한 연결 파일 변경 등 3. 조치방법  위의 증상을 포함하는 악성코드에 감염된 경우, 각종 레지스트리 값의 변경으로 인해 사용자들께서 수동으로 조치하기에는 어려움이 있을 것으로 판단됩니다….