autorun.inf 에 대한 글 ..

autorun 바이러스 확산되고 있다는 인터넷 상에 많이 알려져...

autorun.inf 자체를 악성파일로 보는 분들이 많아 진듯 하다.

그러나, 해당파일은 단지 CD나 USB 드라이브 등의 이동매체에서 자동 실행을 목적으로 제작된 문서파일

해당 문서에 삽입되어 실행되도록 되어 있는 악성파일이 문제의 원인이 되는 것이다.

autorun.inf 이 파일이 정상파일이라면, 악성파일은..

autorun.inf 에 실행되도록 삽입된 문구를 보면 확인 할 수 있다.. 보통은 말이다..

여기서 짧은 지식으론 자세히 글을 쓸 수 없어 .. 관련 정보를 하단에 제시하고자 한다.

<참고자료>

출처 : nprotect

원본 링크 : http://www.nprotect.com/v6/contents/index.php?mode=

2006년 중반기부터 간혹 발견되던 자동실행 방식 기법이 최근에는 매우 다양한 형태의 악성코드들이 사용하고 있어 이에 대한 기법과 사례를 분석해 본다.

 

이 방식은 CD나 USB 드라이브 등의 이동매체가 주로 사용하던 것으로 윈도우 구성파일 형식인 Autorun.inf 파일을 이용하여 자동 실행으로 설정되어있는 프로그램이 드라이브 접근 시 스스로 인식되어 실행되도록 구성되어 있다.

 

그런데 이를 이용한 악성코드가 점차 증가하고 있어 각별한 주의가 필요하다. 네트워크 공유폴더나 각 드라이브 루트 폴더에 Autorun.inf 파일을 생성하고 악성코드 숙주본과 연동하도록 설치를 하게 되며, 레지스트리 값을 변경하여 각 드라이브의 자동 실행을 활성화 시킨다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun"

 

"NoDriveTypeAutoRun"=dword:00000091 (자동 실행 설정 / 기본값)
"NoDriveTypeAutoRun"=dword:00000000 (자동 실행 설정)
"NoDriveTypeAutoRun"=dword:000000ff (자동 실행 해제)

 

NoDriveTypeAutoRun 값이 0으로 입력된 후 로그 인이 되면 드라이브에 존재하는 Autorun.inf 파일이 인식되고 아래와 같은 내용이 마우스 오른쪽 버튼의 메뉴에 추가된다.

 

왼쪽 화면은 기본값이 91이 등록된 상태에서 메뉴이며, 오른쪽 화면은 0으로 등록된 후 메뉴화면이다.

[그림 1]자동 실행 메뉴의 설지 전과 설치 후의 비교화면

 

오른쪽 화면과 같이 자동 실행(P)과 Auto 메뉴가 로컬 디스크에서 나오는 경우에는 대부분 악성코드에 감염되어 있다고 추정할 수 있으며, 이때 로컬 디스크로 접근 시 악성코드가 실행된다. 이런 경우 메뉴에서 “탐색”을 선택하여 접근하면 자동 실행을 하지 않고 내부로 접근이 가능하다.

 

특히, 로컬 디스크에서 발견된 모든 악성코드를 치료하여도 USB 드라이브에 존재하는 자동 실행 형태의 숙주 파일을 치료하지 않아 재 감염되는 사례가 매우 많은데, USB 드라이브만 연결하면 숨겨져 있던 악성코드가 자동으로 실행되면서 로컬 드라이브까지 감염을 시키게 된다.

[그림 2]네트워크 드라이브에 생성된 WhBoy 바이러스 화면

 

최근까지 WhBoy 바이러스 변종은 Autorun.inf 파일 기법을 이용하여 쓰기 가능한 공유 네트워크와 모든 드라이브에 자신을 숨겨 확산하는데 이용하였으며, Horst 라는 트로이목마는 네트워크의 공유폴더에 지속적으로 변형을 설치하여 기업 담당자들에게 많은 불편을 주기도 하였다.

[그림 3]로컬 디스크에 숨겨져 있는 WhBoy 바이러스 화면

 

이외에도 자신을 숨기기 위해서 폴더 옵션을 조작하여 숨김 속성의 악성코드 파일 자체를 은폐시키거나 Rootkit 기법 등을 이용하여 사용자가 쉽게 발견하지 못하게 하는 경우도 있으며, 휴지통 폴더에 악성코드를 숨겨서 발견을 어렵게 하는 경우도 있다.

[그림 4]휴지통에 숨기도록 설정되어 있는 Autorun.inf 파일 화면

 

이처럼 Autorun.inf 파일에 의해서 등록된 악성코드는 사용자가 드라이브 폴더를 여는 순간 자동으로 실행되기 때문에 지속적으로 감염활동이 이루어지는 피해를 입게 되며, USB 저장 드라이브 등에 감염된 경우 사용자가 스스로 컴퓨터 시스템을 감염시키는 숙주 역할을 하게 되기도 한다.

 

이외에도 악성코드에 생성된 Autorun.inf 파일로 인한 여러 가지 형태의 부작용이 있는데, 일반적으로 백신프로그램이 Autorun.inf 파일을 삭제하지 않아 발생하는 경우도 있다.

 

Autorun.inf 에 의해서 실행되는 EXE 파일만 삭제하는 경우 해당 파일을 찾을 수 없다는 오류 메시지 창이 출력되는 경우가 대표적인 사례라 할 수 있다.

[그림 5]virus.exe 만 제거하고 Autorun.inf 파일을 제거하지 않았을 때 나오는 오류 화면

 

악성코드 파일명으로 많이 사용되는 Setup.exe 의 경우 루트폴더에 있는 Setup.exe 가 아닌 시스템 폴더에 정상적으로 존재하는 Setup.exe 가 실행되면서 제어판 메시지 창이 출력되는 경우도 있다.

[그림 6]C드라이브 루트에 생성된 Autorun.inf 파일의 내부 모습

 

이때는 아래와 같은 메시지 창이 나오면서 C 루트 폴더가 열리지 않는 현상이 나타난다.

[그림 7]Autorun.inf 에 의해서 setup.exe 가 실행된 화면

 

이와 같은 오류현상을 제거하려면 악성코드에 의해 변경된 레지스트리 값을 수정하고, Autorun.inf 파일도 동시에 제거하는 것이 필요하다.

 

이처럼 일반적으로 악성코드 숙주 본만 삭제할 경우에 여러 가지 부작용이 발생하는 사례가 많아져 백신업체의 자동화 업데이트를 통한 다량 DB 추가의 문제점으로 대두되고 있기도 하며, 악성코드 들이 수정하는 레지스트리 값을 복구해 주는 기능도 필수적인 백신기능으로 요구되고 있기도 하다.

 

일반사용자의 경우 백신으로 치료 후에 인터넷이 접속되지 않거나 예측하지 못한 오류 창들이 생겨 컴퓨터 사용에 불편함을 겪는 경우가 많이 있으며, 바이러스에 감염된 파일을 치료 후에 오히려 프로그램이 정상적으로 실행되지 않는 경험을 할 경우에 보안제품의 불신감만을 높이는 주요 원인이 되고 있다는 점에서 악성코드 치료 후 시스템 테스트 역시 중요한 부분을 차지하게 되었다.

 

이러한 이유로 자동 실행 방식을 이용한 형태의 악성프로그램을 좀더 완벽하게 치료하기 위해서 Autorun.inf 파일에 대한 진단/삭제 기능이 필요하며, USB 저장 매체 등이 연결될 때 실시간으로 실행을 차단하는 기능이 매우 중요한 부분을 차지하게 되었다.

 

컴퓨터 사용자들의 경우 Autorun.inf 파일이 이동 매체나 루트 폴더 등에 숨김 속성 등으로 존재하지 않는지 꼼꼼히 살펴보고, 최신 버전의 백신 프로그램 등을 이용하여 수시로 검사해 보는 것이 중요하겠다.

출처 : 안철수 연구소

내용링크 : http://kr.ahnlab.com/infoView.ahn?seq=10073&page_num=1&keyStr=&category=16

▶ 플래쉬 메모리에 생성된 Autorun.inf 의 정체는?