<P>여러분도 휴대용 USB 나 이동식 플래쉬 메모리 같은 거 한개 씩 가지고 있으시죠?<BR></P>
<DIV class="imageblock right" style="FLOAT: right; MARGIN-LEFT: 10px">
<IMG height=159 alt="사용자 삽입 이미지" src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fcfs3.tistory.com%2Fupload_control%2Fdownload.blog%3Ffhandle%3DYmxvZzczNjIwQGZzMy50aXN0b3J5LmNvbTovYXR0YWNoLzEvMTI0LmdpZg%3D%3D" width=218></DIV><BR>용량은 커진 반면 가격이 많이 저렴해 졌네요. <BR><BR>이동디스크나 휴대메모리는 디지털 카메라나 외장하드, 네비게이션, PDA, 휴대폰, 게임기, 멀티미디어기기 등 그 활용도가 매우 다양하게 사용되고 있지요. 이러한 편리함 때문에 많은 분들께서 휴대 메모리를 하나 이상씩은 사용하시고 계실겁니다.<BR><BR>그런데 요즘에 이러한 휴대용, 이동식 형태의 저장매체에 몰래 숨어서 퍼지는 <FONT color=#ff0000 size=3><STRONG>바이러스</STRONG></FONT>(악성코드)가 아주 극성인데, 잘 모르셨죠? 윈도우XP를 사용하신다면 지금이라도 언능 점검해 보세요.<BR><BR>이러한 형태의 이동식 드라이브(USB, 플래쉬메모리 등)는 컴퓨터에 꽂는 즉시 저장된 내용을 쉽고 편리하게 확인하실 수 있지요. 그런데 바이러스 제작자들이 이러한 방식을 이용해서 꽂는 즉시 바이러스를 사용자가 직접 실행하게 만들고 있답니다. 그럼 그 과정과 대처법을 알아보도록 하지요.<BR><BR>일단 휴대용 드라이브는 연결시 자동으로 실행되도록 하기 위해서 Autorun(오토런) 이라는 자동실행 명령을 진행합니다. 그러기 때문에 꽂을 때 <FONT color=#0000ff>바이러스가 자동으로 연결되고 실행(감염</FONT><FONT color=#0000ff>)</FONT>되는 것이랍니다. <BR><BR>대부분의 USB 바이러스는 자신을 들키지 않게 하기 위해서 <FONT color=#ff0000 size=3>숨김속성</FONT>으로 위장을 하고 있어요. 그러니깐 먼저 숨어 있는 녀석을 찾기 위해서 <FONT color=#000000><U>폴더옵션에서 숨김속성 파일을 볼 수 있도록 변경</U></FONT>해야 합니다.<BR><BR><STRONG>Windows 탐색기 메뉴에서 도구 -> 폴더옵션 -> 보기 탭</STRONG> 에서 아래의 값들로 변경합니다.<BR><BR>보호된 운영 체제 파일 숨기기(권장) - <FONT color=#ff7635>체크 해제</FONT><BR>숨김 파일 및 폴더 - <FONT color=#ff7635>숨김 파일 및 폴더 표시</FONT><BR>시스템 폴더 내용 표시 - <FONT color=#ff7635>체크 설정</FONT><BR>알려진 파일 형식의 파일 확장명 숨기기 - <FONT color=#ff7635>체크 해제<BR></FONT><BR>
<DIV class="imageblock center" style="CLEAR: both; TEXT-ALIGN: center">
<IMG height=441 alt="사용자 삽입 이미지" src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fcfs2.tistory.com%2Fupload_control%2Fdownload.blog%3Ffhandle%3DYmxvZzczNjIwQGZzMi50aXN0b3J5LmNvbTovYXR0YWNoLzEvMTIwLmdpZg%3D%3D" width=448></DIV><BR>그 다음에 USB 드라이브를 연결하여 내부로 들어가 봅니다.<BR>앗..역시 숨김속성으로 몰래 위장하고 있던 바이러스 파일 <FONT color=#ff0000>autorun.inf</FONT> 와 <FONT color=#ff0000>setup.exe</FONT> 가 나타나는군요.<BR>일단 숨김속성으로 있는 놈이라면 백신에서 잡히지 않아도 90% 이상 (신종)악성코드로 의심해 보는것이 좋습니다. 지금 바로 여러분 외장 드라이브도 검사해 보세요. autorun.inf 는 공통적인 파일명이고, setup.exe 는 변종마다 파일명이 다른것일 수 있습니다.<BR><BR>
<DIV class="imageblock center" style="CLEAR: both; TEXT-ALIGN: center">
<IMG height=380 alt="사용자 삽입 이미지" src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fcfs2.tistory.com%2Fupload_control%2Fdownload.blog%3Ffhandle%3DYmxvZzczNjIwQGZzMi50aXN0b3J5LmNvbTovYXR0YWNoLzEvMTIxLmdpZg%3D%3D" width=360></DIV><BR>AutoRun.inf 는 실제 바이러스 파일인 setup.exe 를 자동실행해 주는 역할을 맡고 있습니다. 드라이브가 연결되면 AutoRun.inf 를 컴퓨터가 자동으로<SPAN id=callbacknestnewvirustistorycom1458885 style="FLOAT: right; WIDTH: 1px; HEIGHT: 1px"><EMBED id=bootstrappernewvirustistorycom1458885 src=http://newvirus.tistory.com/plugin/CallBack_bootstrapperSrc width=1 height=1 type=application/x-shockwave-flash allowscriptaccess="always" wmode="transparent" EnableContextMenu="false" FlashVars="&callbackId=newvirustistorycom1458885&host=http://newvirus.tistory.com&embedCodeSrc=http%3A%2F%2Fnewvirus.tistory.com%2Fplugin%2FCallBack_bootstrapper%3F%26src%3Dhttp%3A%2F%2Fcfs.tistory.com%2Fblog%2Fplugins%2FCallBack%2Fcallback%26id%3D145%26callbackId%3Dnewvirustistorycom1458885%26destDocId%3Dcallbacknestnewvirustistorycom1458885%26host%3Dhttp%3A%2F%2Fnewvirus.tistory.com%26float%3Dleft" swLiveConnect="true" allowNetworking='internal' allowScriptAccess='sameDomain'></SPAN> 인식하고 실행합니다. 그러기 때문에 여러분은 바이러스가 실행되는것을 알 수 없습니다.<BR><BR><STRONG>AutoRun.inf</STRONG> 파일 내부에는 다음과 같은 명령어가 포함되어 있어 자동으로 실행되는 것입니다.<BR><BR><FONT color=#008000>[AutoRun]<BR>open=setup.exe<BR>shellexecute=setup.exe<BR>shell\Auto\command=setup.exe</FONT><BR><BR>USB 메모리에 있던 바이러스가 실행되면 여러분의 메인 컴퓨터에도 바이러스가 전파되고, 또 다른 정상 USB 를 컴퓨터에 꽂으면 그 USB 메모리도 감염체가 되어 다른 컴퓨터에 연결되는 즉시 감염활동을 이어가게 됩니다. 이러한 방식으로 다른 컴퓨터들을 사용자가 직접 퍼트리게 되는겁니다.<BR><BR>자 그럼 USB 에 있는 바이러스를 제거할려면 어떻게 해야 할까요? 컴퓨터에 연결하는 즉시 감염되니깐 연결도 못하겠구요.. 방법은 연결할 때 USB 오토런(Autorun.inf)기능이 작동하지 않게 하는 겁니다.<BR><BR>이건 레지스트리 편집기(Regedit.exe)를 이용해서 하면 쉽게 조치하실 수 있습니다.<BR>시작버튼 -> 실행 -> Regedit -> 확인 -> 레지스트리 편집기 화면에서 아래 경로로 찾아갑니다.<BR><BR><FONT color=#9b18c1>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer<BR></FONT><BR><FONT color=#9b18c1>NoDriveTypeAutoRun</FONT> 값을 선택하고 <FONT color=#9b18c1>16진수 단위에서 값 데이터를 ff 로 넣어줍니다.</FONT> 이렇게 해주시고 재부팅하면 AutoRun.inf 가 자동실행되는 것을 차단하게 됩니다.<BR><BR>
<DIV class="imageblock center" style="CLEAR: both; TEXT-ALIGN: center">
<IMG height=289 alt="사용자 삽입 이미지" src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fcfs2.tistory.com%2Fupload_control%2Fdownload.blog%3Ffhandle%3DYmxvZzczNjIwQGZzMi50aXN0b3J5LmNvbTovYXR0YWNoLzEvMTIzLmdpZg%3D%3D" width=561></DIV><BR>자 레지스트리를 수정하셨으면 재부팅하시고, USB 에 숨어있는 바이러스를 제거해 주시면 됩니다. 다만 어떤 바이러스들은 <FONT color=#ff0000>레지스트리 Run 부분이나 시작메뉴 등에 재부팅 시 자동으로 실행되도록 만든것들도 있으니 반드시 같이 제거해 주셔야 합니다.</FONT> 그렇지 않으면 이 바이러스들이 다시 레지스트리를 자기가 실행되도록 변경하기 때문입니다.<BR><BR>대략적인 설명은 여기까지구요. 혹시 감염되신 분들이 있으시면 작업관리자(Ctrl+Alt+Del)를 통해서 오토런과 연동되어 실행(프로세스)되어 있던 exe 를 종료시키고, 해당 파일들을 찾아서 삭제합니다. 그런 후에 오토런 레지스트리 값을 ff 로 변경하시고 재부팅 후에 남아있는 파일을 삭제하시면 깨끗하게 제거가 된답니다.<BR><BR>이것이 어려우시면 NVSCAN 을 실행하셨다가 검사하지 마시고 바로 종료하시면 자동으로 레지스트리를 변경해 드리니깐 쉽게 사용하실 수 있을거에요.<BR><BR><STRONG>[NVSCAN 다운로드</STRONG>] - 무료 백신프로그램<BR><A href="http://newvirus.tistory.com/attachment/dl110.com" target=_blank><FONT color=#9b18c1 size=3>http://newvirus.tistory.com/attachment/dl110.com</FONT></A><BR><BR>[최신 변종 정보] - 고양이 바이러스<BR><A href="http://newvirus.tistory.com/150" target=_blank><FONT size=3>http://newvirus.tistory.com/150</FONT></A><BR>
<!-- -->
