'이동식 저장장치'를 노리는 악성코드 주의!

'이동식 저장장치'를 노리는 악성코드 주의!

이동식 저장장치를 노리는 악성코드 주의!       안랩은 지난 4월 초, USB 등 이동식 저장장치를 통해 유포되는 오토런(autorun) 악성코드가 지속적으로 나타나고 있어 주의를 당부한 바 있다. 최근 또 다시 USB 내의 파일을 숨기고 ‘바로가기’ 파일을 생성하는 악성코드가 발견돼 사용자들의 더욱 각별한 주의가 필요하다.   ▶ USB 사용할 때 주의하세요! 오토런 악성코드 예방법   휴대가 간편하고 저장 용량 또한 왠만한 PC 못지 않아 많은 사람들이 이동식 저장장치를 이용하고 있다. 이동식 저장장치의 사용이 늘어나면서 이를 노리는 악성코드 또한 지속적으로 나타나고 있다. 이동식 저장장치를 PC에 꽂는 것만으로도 자동으로 PC를 감염시키기 때문에 USB 공유나 도서관, 학교 등의 공용 PC 이용을 통해 2차, 3차 피해로 확대되기 쉽다.   이번에 발견된 악성코드도 이동식 저장장치를 통해 유포되고 있으며 [그림 1]과 같이 스크립트 파일의 형태를 하고 있다.,   [그림 1] 이동식 저장장치를 통해 유포되는 악성 스크립트 파일   악성 스크립트 파일은 대개 KB 단위의 파일인데, 이번에 발견된 악성 스크립트는 이 보다 큰 크기로, 69MB 정도의 크기를 갖고 있다. 안랩의 분석 결과, 이 악성 스크립트는 의미 없는 데이터(dummy data)로 파일 크기를 늘린 것으로 나타났다.   의미 없는 데이터를 제외하고 나면 실제 악성 행위를 수행하는 스크립트는 [그림 2]와 같이 272KB로 크기가 줄어든다. 의미 없는 파일을 이용해 파일 크기를 늘려 의심을 피하고 악성 스크립트는 암호화함으로써 분석을 어렵게 하고자 한 것으로 추측된다.   [그림 2] 실제 악성 스크립트     한편 이 악성 파일의 의미 없는 데이터를 확인한 결과 [그림 3]과 같은 이미지 파일(.jpg) 파일을 갖고 있는 것으로 나타났다.   [그림 3] 스크립트가 갖고 있는 JPG 파일     악성 스크립트가 실행되면 드라이브 형식이 이동식(Removable)인 것을 확인해 해당 장치 내의 파일 및 폴더들을 숨김 속성으로 변경하고 ‘바로가기’ 파일을 생성한다.   [그림 4] ‘바로가기’로 변경된 파일 및 폴더     또한 지속적인 감염 상태 유지를 위해 윈도(Windows) 시작 시 실행되도록 스스로를 레지스트리 및 시작프로그램에 등록한다. 해당 스크립트 내에 네트워크 연결을 시도하는 스크립트가 확인되어 특정 URL에 접근하려는 목적으로 추측된다. 또한 악성 파일을 다운로드하고 시스템 정보를 외부로 전송하는 등의 추가 스크립트가 존재하는 것도 확인되었다.   V3 제품에서는 해당 악성코드를 아래와 같은 진단명으로 탐지 및 치료하고 있다.   <V3 제품군의 진단명> VBS/Encode (2016.04.19.00)   최근 중요 문서를 공유 또는 보관, 백업하기 위해 이동식 저장장치를 이용하는 경우가 많다. 그러나 이를 노리는 악성코드 또한 지속적으로 나타나고 있어 평소 사용자들의 주의가 필요하다. 특히 대학교나 도서관, 카페 등에서 공용 PC에서 이동식 저장매체를 사용할 때에는 각별한 주의가 필요하다.