자료 : 한국정보보호진흥원(KISA)
개 요
최근 USB 이동저장 매체를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다.
USB 이동저장매체를 이용하여 전파되는 악성코드 중 이번에 확인된 ntion.exe의 경우,
특정 사이트에 접속하여 추가 악성코드를 다운로드 하는 Dropper 기능을 수행하는 것으로 확인되었다. 또한,
웹서버가 감염될 경우는 웹서버내의 웹 페이지가 변조되어 해당 웹서버를 방문하는 사용자들에게도
피해를 발생시킬 수있다.
대다수 사용자들이 파일이동 및 저장을 위하여 USB저장매체를 이용하고 있으므로,
부주의한 USB 사용으로 인한 감염피해는 앞으로도 많이 발생할 것으로 보인다.
사용자는 이동저장 매체를 백신으로 주기적으로 점검하고 USB자동실행 기능을 해제하여
피해를 사전예방 하여야 하겠다.
□ USB 이동매체를 이용한 악성코드 전파기법 소개
o 전파 방법
윈도우에서는 사용자 편의를 위하여 USB 이동저장매체 또는 CD를 삽입하였 을 경우,
자동으로 사용자가 원하는 특정 프로그램이 실행되도록 할 수 있다.
최근 이 기능이 악성코드 감염에 악용되는 경우가 많이 발생하고 있다.
☞ 윈도우의 autorun.inf 기능 소개
윈도우에서는 autorun.inf 파일을 통하여 CD나 이동저장매체 연결 시
특정 프로그램이 자동으로 실행되도록 할 수 있다.
※ 일반적으로 사용자가 CD, 또는 USB 이동저장 매체 연결 시 소프트웨어
install이 자동으로 이루어 질수 있도록 하기 위한 목적으로 많이 사용된다.
이 기법을 이용하여 전파활동을 하는 악성코드는 이동식 USB 드라이브를 찾아,
해당 드라이브 내에 악성코드 복제파일을 생성하며, 또한
autorun.inf 파일을 생성하여 악성코드를 실행하는 코드를 삽입한다.
사용자가 USB 이동식 저장장치를 사용할 경우, autorun.inf 파일이 자동으로 실행되어,
사용자 PC는 자동으로 감염되게 된다.
KrCERT-AR-2008 http://www.krcert.or.kr
o 피해유형 예
①사용자는 USB 전파 웜에 감염된 시스템에서 자신의 이동식 디스크를 사용
②USB 전파 웜에 감염된 이동식디스크를 다른 시스템에서 사용
③새로운 시스템의 감염
이동식 디스크를 이용한 악성코드 전파.
□ 악성행위
감염 시 다른 추가 악성코드를 다운로드 하거나,
감염 시스템 내에 저장되어 있는 웹 페이지에 악성 스크립트를 삽입한다.
또한, 안티 바이러스 프로그램 종료 등 자기보호 기능도 확인되었다.