[보안 포커스] 잊을만하면 나타나는 ‘오토런’ 악성코드

자동실행 기능은 시스템에 이동식 매체가 입력되면 특정 동작을 자동으로 실행한다. 하지만 이 기능을 악성코드 제작자들이 악성코드의 유포 방법으로 악용하면서 수년이 흐른 지금도 '오토런(Autorun)' 악성코드가 발견되고 있다.

오토런 악성코드는 이동식디스크의 자동실행 기능을 이용해 전파된다. 이동식디스크의 접속으로 악성코드가 감염되는 만큼 사용자가 주의하면 확산을 막을 수 있다.

이번에 발견된 악성코드도 자동실행 기능을 이용하여 감염ㆍ전파됐다. 악성코드에 감염되면 인터넷 익스플로러의(IE) 검색 페이지와 시작페이지가 [그림 1]과 같이 특정 사이트로 변경된다.

[그림 1] 변경된 인터넷 익스플로러 시작페이지

해당 악성코드는 레지스트리 값을 변경함으로써 사동자 동의 없이 인터넷 익스플로러의 검색페이지와 시작페이지를 특정 사이트로 변경하고 사용자가 인터넷 옵션을 통해 변경할 수 없도록 홈페이지 탭을 비활성화한다.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Serch_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Serch Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page

[표 1] 악성코드에 의해 변경되는 레지스트리 경로

[그림 2] 비활성화된 인터넷 옵션의 홈페이지 탭

또한 악성코드의 지속성을 유지하기 위해 다음의 3가지 방법을 통해 자동실행한다.

1. 파일 'Autorun.inf'를 통한 자동실행
2. 시작프로그램을 통한 자동실행
3. 예약된 작업을 통한 자동실행

[그림 3] 파일 'Autorun.inf'의 정보

위의 방법을 통해 악성코드가 실행되면 루트 경로에 파일 'Autorun.inf'를 생성하고 로컬 디스크를 제외한 저장장치의 모든 폴더에 자신을 복제한다. 이때 복사된 파일명은 상위 폴더의 이름이다.

[그림 4] 상위폴더의 이름을 파일명으로 사용하는 복제된 악성코드 파일

해당 악성코드는 사용자가 감염을 인지해도 수동으로 조지할 수 없도록 레지스트리 값을 변경한다. 변경된 레지스트리 값에 의해 [도구]-[폴더옵션] 메뉴가 비활성화된다.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions
         - 폴더옵션 비활성화
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
         - TaskManager 실행 불가
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
         - RegistEditer 실행 불가

[표 2] 악성코드에 의해 변경되는 레지스트리 경로

[그림 5] 악성코드 감염 전(상)/ 악성코드 감염 후(하)

일반적으로 파일 'Autorun.inf'는 숨김 속성으로 디스크의 루트경로에 존재한다. 명령 프롬프트에서 다음 명령어 'Attrib -r -s -h autorun.inf'를 통해 숨김 속성을 해제할 수 있다.

백신에서 악성코드의 진단과 치료를 할 수 있지만, 악성코드에 의해 변조된 레지스트리 값은 원상 복구되지는 않는다. 따라서 악성코드를 치료하더라도 악성코드 감염에 의한 검색과 시작페이지의 변경 불가, 폴더 옵션 메뉴의 비활성화 문제를 해결할 수 없다.

또한 레지스트리 편집기를 통해 변조된 레지스트리를 일일이 수정하지 않고 복구하는 방법이 있다. 레지스트리 항목인 '.REG' 파일을 이용하거나, Registry fix tool을 이용하여 수정할 수 있다.

[그림 6] 안랩에서 제공하는 Registry Fix Tool

V3는 파일 'Autorun.inf'에 의한 외부저장장치의 자동실행 방지기능과 USB 드라이브 자동 검사기능을 제공한다. V3에서 제공하는 기능 외에도 윈도에서 동일 경로에 같은 이름의 파일과 폴더가 생성되지 않는 특징을 이용해 악성코드에 의한 파일 'Autorun.inf'의 생성을 방지할 수 있다.

앞에서 언급했듯이 오토런 악성코드는 매체의 자동실행 기능을 이용해 전파된다. 사용자가 외부저장장치 루트 경로에 존재하는 'Autorun.inf' 파일을 삭제하고 같은 이름으로 생성한 것만으로 자동실행으로 인한 악성코드 감염과 전파를 방지할 수 있다.

외부저장장치를 사용할 때는 자동실행 기능에 의해 악성코드에 감염될 수 있음을 인지하고 사전에 대처하는 자세가 필요하다. @

[그림 7] V3의 자동 실행 방지 기능과 드라이브 자동검사 기능

AhnLab
ASEC 대응팀

[보안 포커스] 잊을만하면 나타나는 ‘오토런’ 악성코드

[그림 1] 변경된 인터넷 익스플로러 시작페이지

[표 1] 악성코드에 의해 변경되는 레지스트리 경로

[그림 2] 비활성화된 인터넷 옵션의 홈페이지 탭

또한 악성코드의 지속성을 유지하기 위해 다음의 3가지 방법을 통해 자동실행한다.

1. 파일 'Autorun.inf'를 통한 자동실행
2. 시작프로그램을 통한 자동실행
3. 예약된 작업을 통한 자동실행

[그림 3] 파일 'Autorun.inf'의 정보

[그림 4] 상위폴더의 이름을 파일명으로 사용하는 복제된 악성코드 파일

[표 2] 악성코드에 의해 변경되는 레지스트리 경로

[그림 5] 악성코드 감염 전(상)/ 악성코드 감염 후(하)

[그림 6] 안랩에서 제공하는 Registry Fix Tool

외부저장장치를 사용할 때는 자동실행 기능에 의해 악성코드에 감염될 수 있음을 인지하고 사전에 대처하는 자세가 필요하다. @

[그림 7] V3의 자동 실행 방지 기능과 드라이브 자동검사 기능

AhnLab
ASEC 대응팀

AhnLab

[보안 포커스] 잊을만하면 나타나는 ‘오토런’ 악성코드

관련 콘텐츠

[보안 포커스] 잊을만하면 나타나는 ‘오토런’ 악성코드

관련 콘텐츠