오토런(Autorun) 바이러스

ி 순기능

오토런은 말 그대로 자동으로 특정한 동작을 수행하는 기능이다.
예를들어 영상 CD를 넣으면 자동으로 CD 프로그램을 실행하는 등의 편의성을 제공한다.
autorun.inf 파일로 특정 실행파일을 자동실행 하는데 오토런 바이러스는 이 기능을 악용한다.

ி 증상

① 모든 파일들이 숨겨지고 바로가기 파일로 바뀐다.
바로가기를 실행하면 사용자가 눈치못채게 원본 파일과 악성 스크립트를 같이 실행한다.

② "숨김 파일 및 폴더 표시" 설정변경이 되지 않는다.

③ 모든 드라이브 루트디렉토리(C드라이브면 C:\)에 autorun.inf 파일을 생성한다.
더불어 악성 스크립트를 복사하고 레지스트리에 등록하여 자동 실행 되도록 설정한다.

레지스트리 경로

 HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\[악성코드명]
 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\[악성코드명]

오토런에서의 스크립트 종류는 두 가지가 있다.
1 VBS(비주얼 베이직 스크립트)
2 js(자바스크립트)

1번은 윈도우 기반에 호스트 프로그램으로 실행되며,
2번은 윈도우에서 스크립트를 해석하여 실행시켜주는
정상 프로그램 Wscript.exe로 실행된다.

해당 스크립트를 통해서
특정 주소로 접속 시도(C&C)를 하여
시스템 정보를 공격자에게 보내고 악성파일을 내려받게 한다.

④ 이동식미디어(USB,외장하드 등)와 같은 저장장치에 복사되어 전파된다.

ி 치료

수동

autorun 파일 삭제
CMD 명령창에서 다음 명령을 수행하여 오토런 파일을 제거한다.

 del D:\autorun.* /f /s /q /a

D는 감염 드라이브를 의미하므로 알맞게 지정하자.

autorun.inf 접근
안전모드로 부팅하여 숨김 해제를 하고 해당 파일에 접근한다.

 [AutoRun]
 open=abc.exe
 shellexecute=wscript.exe MerciJ.vbs

파일을 열면 자동으로 실행할 파일이 입력되어있는데, 실제 열리는 파일을 확인해야 바이러스를 식별할 수 있다.
의심가는 파일명에 확장자가 exe인 경우 삭제하고, vbs가 있다면 악성스크립트일 확률이 높으므로
작업관리자에서 wscript 프로세스를 죽인 후 정상적으로 부팅한다.
참고로 안전모드에서는 왠만한 프로세스(Wscript.exe 등..)는 동작하지 않기 때문에 제거가 가능하다.

자동

① V3 백신 프로그램 검사
② 바이러스 박멸 프로그램 - MZK(멀웨어 제로킷) 실행

ி 예방

폴더 생성

이동식 저장장치에 Autorun.inf 폴더를 읽기전용 및 숨김폴더로 생성해놓으면
PC에 상주중인 Autorun.inf 바이러스는 이동식 저장장치에 접근을 시도하지만
동일 파일명으로 인식되는 폴더로 인해 접근을 하지 못하게 된다.

자동 실행 끄기

실행창(window + R)에 Regedit을 입력한다.
HKLM/System/CurrentControlSet/Services/CDRom를 찾아서
AutoRun 값을 “0”으로 설정한다.

ி 복구

바이러스가 치료됐어도 파일은 여전히 숨겨져있으므로 원상복구시켜놓자.

① 명령프롬프트 - 관리자 권한 실행
② 복구하고자하는 이동식 미디어에 접근
③ attrib -r -s -h /d /s

위 명령에서 "-"는 파일의 특정한 기능을 없애고,
"/d /s"는 현재 및 모든 하위 폴더에 적용한다는 의미다.

rsh 옵션의 뜻은 다음과 같다.

r(read only) = 읽기 전용 , s(system file) = 시스템 파일 , h(hidden) = 숨김