USB 사용할 때 주의하세요! 오토런 악성코드 예방법
“USB 안에 있던 파일들이 사라지고, 바로가기 파일만 남아있어요.”
오토런(Autorun)악성코드에 감염되어 불편을 호소하는 사용자들이 지속적으로 발생하고 있다. 2000년대 후반에 등장해 10여 년이 지난 지금도 여전히 큰 영향력을 끼치고 있는 오토런은 PC에 설치된 안티바이러스 제품이 USB를 검사하기도 전에 실행되기 때문에 예방이 무엇보다 중요하다.
오토런이란 'autorun.inf' 파일이나, 시스템의 레지스트리에 등록돼 자동 실행되도록 설정된 악성코드로, 주로 USB같은 이동형 저장장치에 복사되어 전파된다. [그림 1]과 같이 바로가기 파일만 보여주거나 파일을 숨기는 등의 악성 행위를 한다.
최근 발견된 오토런 악성코드를 살펴보고 예방법을 알아보자.
1. 분석을 방해하는 오토런 악성코드
[그림2]에 보이는 확장자가 *.js인 악성코드는 자바스크립트(JavaScript) 파일이다. 해당 악성코드는 분석하기 어렵게 난독화되어 있다. 악성코드를 실행하면 파일 생성, 레지스트리 변경, 네트워크 연결 등을 통해 악성 행위를 한다. 악성코드 제작자는 레지스트리 항목 값을 변경해 감염된 시스템에서 보호된 운영체제 파일을 숨기고, 숨김 파일 및 폴더가 표시되지 않도록 해놨다.
악성코드는 숨김 폴더를 생성하고 숨김 폴더에 [그림 3]의 파일들을 생성한다. 생성 파일 중 lyukfs32.exe(랜덤명)는 윈도우 정상 프로그램인 Wscript.exe를 다른 이름으로 변경한 것이다. Wscript.exe는 Windows 운영체제에서 스크립트 파일을 실행 할 때 구동하는 프로그램이다. 따라서 악성 js파일은 윈도우 정상프로그램인 Wscript.exe를 통해 실행된다.
악성코드는 시스템 재시작 시 지속적인 악성 행위를 위해 시작프로그램에 등록된다. 시작프로그램에 등록된 Atajo.lnk의 속성을 보면 악성 js파일을 실행하는 것을 확인할 수 있다. 또한 해당 악성코드는 악성코드가 탐지되는 것을 방해하기 위해 분석 도구, 레지스트리 편집기, 시스템 구성 프로그램과 같은 시스템 분석 및 보안과 관련된 프로그램이 실행되면 즉시 종료시킨다.
지속해서 특정 주소로 접속을 시도하나, 분석 당시에는 네트워크 연결이 이루어지지 않았다. 네트워크 연결에 성공하면 감염된 시스템 정보 및 악성파일 다운로드 등 추가 악성 행위가 이루어질 것으로 추정된다.
2. 시스템 정보를 전송하는 오토런 악성코드
[그림 5]는 윈도우 스크립트(Windows Script)로 작성된 오토런 악성코드다. 윈도우 스크립트는 *.js의 자바스크립트나 *.vbs의 비주얼 베이직 스크립트(Visual Basic Script)와 같이 윈도우 기반 호스트 프로그램에 의해 실행되는 스크립트 언어이다. 해당 악성코드 역시 분석하기 어렵도록 난독화되어 있다.
해당 악성코드를 실행하면 레지스트리 항목을 변경해 시스템 재시작시 실행되며, 네트워크 연결을 통해 감염된 시스템의 정보를 전송한다.
오토런 악성코드는 USB 메모리 등 이동식저장 매체를 통해 유포되는 특성이 있다. 대학교 등과 같이 공용 PC의 사용이 많은 장소에서 해당 악성코드에 감염될 확률이 높다. 따라서 공용 PC에서 이동식 저장매체를 사용할 때에는 각별한 주의가 필요하다.
V3 제품에서는 아래와 같이 진단이 가능하다.
<V3 제품군의 진단명>
JS/Agent (2016.03.23.00)
VBS/Obfuscator (2016.03.21.08
- AhnLabASEC대응팀