본문으로 바로가기

aoturun 바이러스 제거 방법

category 응용프로그램 2011. 11. 2. 16:09

1.    개요

Autorun의 증상 가운데 정상 폴더와 파일의 속성을 숨김 속성으로 바꾸어 파일을 숨기고, 폴더명과 동일한 파일명의 실행 파일을 생성하여 사용자로 하여금 백신프로그램이 정상적인 프로그램을 삭제한다는 이슈가 발견되고 있어 관련 증상 및 조치가이드를 안내해 드립니다.

 

 

2.    주요증상

악성코드가 실행되면 USB 폴더 내(또는 C:\ D:\등의 특정폴더)의 정상적인 폴더를 숨김 속성으로 바꾼 후 정상적인 폴더명과 폴더 모양의 아이콘을 갖는 실행 파일(.exe)을 생성합니다. 아이콘 모양이 폴더모양과 동일하지만 아래 [그림 1]과 같이 [보기]속성을 변경할 경우 실행 파일이라는 것을 알 수 있습니다. (해당 실행 파일은 악성코드의 복사본입니다.)

 

[그림 1] 폴더 보기속성 변경

  

[그림 2] 감염시스템에서 확인된 악성 실행파일

 

이 악성코드는 많은 변종이 있으나 V3에서는 현재까지 발견된 악성코드는 아래와 같이 대부분 진단하고 있습니다.

 

[그림 3] 악성코드 치료화면

 

3.    치료방법

최신엔진으로 업데이트 한 V3 Lite의 정밀 검사 기능을 통해 해당 악성코드를 치료하실 수 있습니다.

 

[그림 4] 악성코드 치료화면

 

테스트 시 V3 Lite 정밀 검사 결과 총 11건의 감염 된 파일과 진단명이 확인됩니다.

해당 백신을 통해 감염된 파일을 치료합니다.

 

치료 후 다시 정밀 검사를 해보면 감염된 파일이 없는 것으로 확인됩니다.

 

[그림 5] V3 검사화면

 

V3 Lite를 통해 USB 폴더를 검사해보겠습니다.

 

[그림 6] USB에 생성된 악성코드 치료화면

 

실행 후 생성되었던 감염된 파일을 정상적으로 치료합니다.

 

바이러스 신고센터로 접수되는 문의 중 악성코드 치료 후 정상파일이 삭제되었다는 문의가 다수 접수되고 있으나 이는 정상파일을 삭제한 것이 아니라 정상적인 폴더를 가장한 악성코드를 삭제하는 것입니다. 정상폴더와 파일들은 악성코드가 속성을 숨김 속성으로 변경해 놓아 탐색기상에서 보이지 않는 것입니다. 치료 후 USB 폴더를 보면 아래와 같이 빈 폴더로 나오지만 등록정보를 확인해 보면 252MB가 사용중임을 알 수 있습니다. 백신에서 이 부분을 변경하지 않는 이유는 특정 사용자의 경우 특정 폴더나 파일들을 숨김 속성으로 변경하여 사용하는 경우도 있고, 운영체제상에서 사용자가 실수로 운영체제의 중요파일을 삭제하는 것을 방지하기 위해 숨김 속성으로 사용하는 경우가 있기 때문입니다.

 

[그림 7] 정상폴더와 파일들이 숨겨진 상태

 

 

4.    치료 후 폴더 복원 방법

 

사라진 폴더의 복원은 아래와 같은 명령어를 이용하여 간단히 해결할 수 있습니다.

 

1)     [시작] - [실행]창에서 ‘cmd’를 입력하여 도스 명령창을 띄웁니다.

 

2)     아래 명령어를 이용하여 정상적인 파일들이 삭제된 경로로 이동합니다.

- USB메모리나 E:\ 파티션에 감염되었다고 가정할 경우 : ex)  E:  (엔터키)

- C:\windows 폴더에 감염되었다고 가정할 경우        : ex)  cd c:\windows  (엔터키)

 

3)     아래와 같이 명령어를 입력합니다.

 


위의 명령어를 통해 폴더의 숨김 속성을 해제하면 정상적인 폴더가 나타납니다.

[그림 8] 숨겨졌던 정상폴더가 나타난 모습

 

5.    기타 추가

ü  레지스트리 수동 삭제

모든 치료를 마쳤지만 계속해서 동일한 증상이 나타날 수 있습니다. 그럴 경우에는 아래와 같이 레지스트리편집기에서 해당 값을 찾아 수동으로 삭제해 주시기 바랍니다.

 

(1)    [시작]-[실행]-[열기]부분에 'regedit'(따옴표제외)를 입력하고 확인

(2)    아래 키로 이동

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints

정상적인 A, C, D, E...... 를 제외한 CLSID ({랜덤문자.... })으로 표기된 폴더를 모두 삭제하고 재 부팅 하시면 됩니다.

 

ü  폴더 모양을 가장한 실행 파일

폴더 모양으로 가장하여 더블 클릭을 유도하는 실행파일이 있을 수 있으므로 각별한 주의가 필요합니다. 이를 확인 할 수 있는 방법은 이 글 서두에서 이미 다루었습니다.

 

 

6.    마치며...

지금까지 오토런 웜(Autorun Worm)에 관하여 알아보았습니다. 자동실행 기능은 정상적으로 Windows에서 제공하는 서비스이며 분명 우리에게 편리한 기능입니다. 하지만 현실에서는 그 편리성보다는 이를 악용한 악성코드의 위험성이 더욱더 대두되고 있습니다. 이에 대응하기 위하여 우리는 평소 보안 패치를 충실히 수행하는 등 사용자 스스로의 관심과 실천으로 내 컴퓨터와 내 정보를 보호를 해야 할 것입니다.

감사합니다. ^_^



출처 : http://core.ahnlab.com/171