이동식 디스크를 통해 전파되는 악성코드(VBS/Autorun)

※ 본 이미지는 이해를 돕기위한 것 입니다.

이동식 디스크를 통해 전파되는 악성코드는 단 한 대의 감염으로 인해 여러 사람이 감염될 수 있는 전파력이 강한 악성코드이다.

주로 USB와 같은 이동식 디스크를 통해 전파되며, 이동식 디스크 내의 파일을 lnk 파일로 변환하고, 해당 링크파일을 클릭하면 원본 파일이 실행됨과 동시에 악성코드가 같이 실행하도록 되어있다.

테스트 환경

---

Windows XP x86

생성파일

---

C:\Documents and Settings\Administrator\Local Settings\Temp\Sample.vbs

C:\Documents and Settings\Administrator\시작 메뉴\프로그램\시작프로그램\Sample.vbs

Command : 

"C:\WINDOWS\system32\wscript.exe" //B "C:\Documents and Settings\Administrator\Local Settings\Temp\Sample.vbs "

wscript.exe 를 이용하여 실행되며 원본 악성코드는 wscript에서 실행되고 있어 파일을 찾더라도 지워지지 않는다.

해당 프로세스를 종료한 후 삭제한다.

레지스트리 등록

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run                    

C:\Documents and Settings\Administrator\시작 메뉴\프로그램\시작프로그램              

HKCU\Software\Microsoft\Windows\CurrentVersion\Run                   

난독화된 스크립트

복호화한 스크립트의 일부

vbs 파일은 위와 같이 알아보기 어렵게 난독화 되어있는 경우가 많다. 난독화가

확인해 보고싶으면 코드를 풀면 된다.

Command : 

C:\WINDOWS\system32\cmd.exe /c start Samle.vbs&start explorer 뻐꾸기&exit

이동식 디스크를 삽입하면 위와 같이 원본 파일은 숨김으로 설정하고 Ink 파일을 만든다.

lnk 파일을 실행하면 위 명령이 같이 실행되며 악성 vbs를 실행시켜 시스템을 감염시킨다.

원본 폴더의 속성을 보면 숨김설정을 해제할 수 없게 되어있다. 

이럴시에는 attrib 명령을 이용해 숨김속성을 해제할 수 있다.

attrib -s -r -h /s /d 

모든 파일의 읽기전용과 숨김속성을 해제한다.