USB 악성코드 감염 피해 증가

 

USB 악성코드 감염 피해 증가 디지털타임스|기사입력 2008-02-11 08:00 KISA, 1월 동향분석 드로퍼ㆍ자기보호 기능 수행 자동실행 해제 등 사전예방 최근 USB 이동식 저장장치를 통해 전파되는 악성코드 감염으로 인한 피해가 증가하고 있어 사용자들의 주의가 요구된다. 한국정보보호진흥원(KISA)은 최근 발간한 `1월 인터넷침해사고동향 및 분석월보'의 월간특집 기사를 통해 최근 특정사이트에 접속한 후 추가 악성코드를 내려받기(다운로드) 하는 드로퍼(Dropper) 기능을 수행하는 악성코드(ntion.exe)가 USB 이동식 저장장치를 통해 전파되고 있다면서 사용자들의 주의를 당부했다. 이 악성코드는 윈도 상에서 사용자 편의를 위해 USB나 CD를 이용한 이동식 저장매체가 시스템에 연결될 때 사용자가 원하는 특정 프로그램이 자동으로 실행될 수 있도록 한 윈도의 autorun.inf 기능을 악용, 이동식 USB 드라이브를 찾은 후 해당 드라이브 내에 악성코드 복제파일(RECYCLER.exe)과 autorun.inf 파일을 생성하고 악성코드를 실행하는 코드를 삽입, 자동실행을 통해 전파될 수 있도록 구성한다. 즉, 사용자가 USB 이동식 저장장치를 사용할 경우, autorun.inf 파일이 자동으로 실행되면서 사용자 PC는 자동으로 악성코드에 감염되는 것이다. 이 악성코드는 감염시 원격지로부터 다른 추가 악성코드 파일을 다운로드 하는 드로퍼(Dropper) 기능을 수행하고 감염된 시스템의 모든 디렉토리를 검색해 웹페이지 파일에 악성 스크립트 코드를 삽입한다. 특히 웹 서버가 감염될 경우, 서비스 중인 웹 페이지 내에 악성 스크립트 코드가 삽입, 웹 페이지가 변조돼 해당 웹 서버를 방문하는 사용자들에게도 피해를 발생시킬 수 있어 더욱 피해가 커질 수 있다. 드로퍼 기능뿐만 아니라 감염된 시스템에 안티 바이러스 프로그램이 동작하는 경우 해당 프로세스를 강제로 종료시키고 자신의 동작을 숨기기 위해 레지스트리 편집기(REGEDIT.EXE)와 시스템 편집기(MSCONFIG.EXE) 등의 모니터링 도구와 안티 바이러스 프로그램의 실행을 방해하는 자기보호 기능도 보유하고 있다. 또 감염된 시스템에서 자신을 숨기기 위해 숨김 파일을 표시하지 않도록 윈도 탐색기의 폴더속성을 지속적으로 변경시키기까지 한다. 이 외에도 시스템 재부팅 후에도 지속적으로 동작하기 위해 인터넷 익스플로러 프로세스에 자신을 인젝션 시키도록 레지스트리를 변경하는가 하면 시스템에 이동식 디스크가 연결되어 있지 않으면 경고 창을 지속적으로 발생, 시스템 사용시 불편을 초래하기까지 한다고 KISA측은 설명했다. KISA는 "이동저장 매체의 주기적인 백신 점검과 USB자동실행 기능 해제 등으로 이를 사전 예방해야 한다"고 말했다. 이홍석기자 redstone@ < 모바일로 보는 디지털타임스 3553+NATE/magicⓝ/ez-i > < Copyrights ⓒ 디지털타임스 & dt.co.kr, 무단 전재 및 재배포 금지 > 이홍석 redstone@