악성코드가 존재하는 폴더명에 ‘.’ 이 들어있는 형태 발견 Posted By ASEC , 2011년 9월 16일 1. 서론 최근 국내에서 퍼지는 온라인 게임핵 악성코드 중 폴더명에 '.' 을 넣어 AV 진단을 우회하는 형태가 확인되어 해당 글을 작성합니다. 2. 악성코드 동작 방법 악성코드에 감염이 되게 되면 아래와 같은 Batch 파일을 생성 및 실행하여 '.' 이 들어간 폴더를 생성 후 실행하게 됩니다. [그림 1] '.' 폴더를 생성하기 위한 Batch 스크립트 파일 내용 중 일부 이러한 '.' 이 들어간 폴더에 접근을 하려 하면 아래와 같이 오류가 발생하게 됩니다. 따라서 악성코드가 이런 폴더를 생성하는 이유는 악성코드가 존재하는 폴더로 접근을 하지 못하도록 하여 삭제를 방해하기 위한 목적으로 생각됩니다. 추가로 실제 일부 AV에서는 진단을 못하는 케이스도 확인되었습니다. [그림 2] '.' 이 포함된 폴더로 접근 시 나타나는 오류창 3. 감염 시 나타나는 증상 감염시 나타나는 증상은 매우 다양합니다. 주로 아래와 같은 증상이 나타나오니 확인 후 해당…
