플래쉬 메모리에 생성된 Autorun.inf의 정체는?

이번 달 악성코드 이슈로는 먼저 윈도우 정품 인증을 가장한 트로이목마가 국외에서 보고 되었는데 일종의 사회공학기법을 이용한 형태였다. 그리고 새로운 형태의 SSDT 후킹을 시도하여 자신의 은폐 모듈을 숨기는 악성코드가 국, 내외에서 보고 되었다. 이 새로운 시도로 기존의 은폐형 악성코드 탐지툴로부터 자신을 우회하기 때문에 이목이 집중 되었다. 또한 최근 들어 가장 큰 이슈가 집중 되는 플래쉬 메모리에 생성 되는 autorun.inf 파일의 정체에 대해서 알아본다.

▶ 윈도우 정품 인증을 가장한 트로이목마
Win-Trojan/Kardphisher는 윈도우 정품 인증을 가장하여 사용자로 하여금 신용카드 정보를 입력 하도록 유도하는 트로이목마이다. 이 트로이목마는 마치 윈도우 정식 인증을 위하여 그럴듯한 메시지와 절차로 사용자로 하여금 신용카드 정보를 입력 받고 이것을 탈취한다. 무엇보다도 이 트로이목마는 실행 된 후 자신을 가장 상위로 활성화 하기 때문에 다른 응용 프로그램이나 화면으로 전환 할 수가 없게 된다. 개인정보와 카드입력을 받는 방법은 특별한 기법이 아닌 단지 Fake 된 화면을 보여주는 일종 사회공학기법에 불과 한다. 최근 MS 는 윈도우와 IE 7 에 대하여 정품 인증을 강화 하면서 이것을 노리고 사용자의 민감한 개인정보를 갈취하는 트로이목마가 출현 한 것으로 보인다.

[그림 2-1] Win-Trojan/Kardphisher 실행화면 1

[그림 2-2] Win-Trojan/Kardphisher 실행화면 2

▶ 새로운 형태의 SSDT 후킹을 시도하는 트로이목마
Win-Trojan/Almanahe 이라고 명명된 이 악성코드는 기존과 다른 SSDT (System Service Descriptor Table) 후킹을 이용하여 기존의 알려진 루트킷 진단 프로그램에서 진단되지 못하도록 자신을 숨긴다. 이 트로이목마가 사용한 SDT 후킹 기법은 후킹 주체가 악성코드 모듈이 아닌 정상 ntoskrnl.exe를 가르킨다. 즉, 서비스 함수 포인터의 위치에 대해서 해당 트로이목마는 서비스 주체인 ntoskrnl.exe를 가르키도록 했다.

후킹 주체인 은폐된 커널 드라이버가 악성코드 자신이 아닌 ntoskrnl.exe를 보이도록 해서 우회한다. 그러나 후킹된 함수까지 숨기지는 못하므로 이를 통하여 SSDT 후킹 여부는 확인 될 수 있다.

[그림 2-3] Win-Trojan/Almanahe 의 SSDT 후킹 함수 및 주체

이 트로이목마는 실행 파일을 감염시키는 바이러스 증상도 가지고 있으며, 또한 일부 온라인 게임의 사용자 계정을 훔쳐내는 증상도 있다. V3 는 이 또한 Win32/Alman 이라고 명명했고 진단 / 치료가 가능하다.

▶ 플래쉬 메모리에 생성된 Autorun.inf 의 정체는?
근래 들어 이동식 드라이브 (대부분 USB 방식의 플래쉬 메모리 스틱)에 생성된 Autorun.inf 의 정체에 대한 문의가 다수 접수되고 있다.. 매체에 대한 단가 하락과 대량 생산은 자연스럽게 이러한 미디어에 대한 접근을 쉽게하므로 요즘 플래쉬 메모리 스틱을 한 개 이상은 보유하고 있다고 해도 과언이 아니다. 따라서 이러한 미디어를 대상으로 악성코드를 감염시키려는 악성코드 제작자들의 노력이 계속되고 있다.

그렇다면 왜? 이동식 드라이브를 감염 대상으로 하는 것일까? 이는 예전에 플로피 디스켓에 부트 바이러스나 파일 바이러스를 감염시켰던 것과 같이 좀 더 확산력을 높이기 위해서이다. 또한 그 당시에는 없었던 Autorun.inf 파일을 이용하여 자동으로 실행할 대상을 지정하여 악성코드를 사용자 의도와는 관계없이 실행 및 감염 그리고 확산 시키려는데 목적이다.

VBS/Solow는 Autorun.inf 파일을 생성하는 대표적인 악성코드이다. 이외에도 스크립트 형태가 아닌 *.EXE 확장자를 갖는 실행 파일 형태의 악성코드도 있다. VBS/Solow는 각 드라이브 루트 폴더 비롯하여 이동식 드라이브 루트 폴더에 Autorun.inf 파일을 생성한다. 이러한 활동을 200초 마다 반복적으로 실행 하기 때문에 사용자가 Autorun.inf 파일을 삭제해도 다시 생성된다.

생성된 Autorun.inf 파일은 특정 드라이브 또는 이동식 드라이브에 생성된 악성코드 복사본을 실행하도록 하는 명령이 포함되어 있다. 예를 들어 플래쉬 메모리 스틱에 Autorun.inf 파일이 있다면 해당 플래쉬 메모리를 USB 포트에 연결한 후 바탕화면의 내 컴퓨터를 선택하여 플래쉬 메모리 스틱이 연결된 이동식 드라이브를 클릭 할 경우 Autorun.inf 에 의해서 악성코드가 자동으로 실행된다.

고객들이 많이 질문하는 내용은 크게 2 가지로 다음과 같다.

- Autorun.inf 파일의 삭제후 재생성
- Autorun.inf 파일과 악성코드 파일을 수동으로 삭제한 경우 바탕화면에서 내 컴
퓨터를 이용하여 각 드라이브 접근불가

먼저 Autorun.inf 파일의 재생성은 위에서 언급 한 것처럼 VBS/Solow 는 200초 마다 반복적으로 각 드라이브에 대한 Autorun.inf 파일을 생성한다. 또한 해당 악성코드는 스크립트 웜으로 자신이 실행되기 위해서 일종의 인터프리터인 WScript.exe 라는 파일을 실행 함으로써 자신의 스크립트를 실행한다. 그러므로 프로세스에서 실행중인 WScript.exe를 종료하지 않으면 Autorun.inf파일이 재생성되는 원인이 된다. 중요한 것은 WScript.exe는 정상적인 윈도우 파일이므로 삭제해서는 안된다. 두 번째로 Autorun.inf 파일과 악성코드를 사용자가 직접 삭제한 경우 내 컴퓨터를 이용한 각 드라이브 접근시 다음 [그림 2-4]와 같은 에러 메시지가 나오고 드라이브 열기가 불가능한 경우가 발생할 수 있다.

[그림 2-4] VBS/Solow 레지스트리 미치료시 나오는 에러 메시지

이는 자동 실행 되기 위해서 각 드라이브에 대한 클래스 ID가 저장된 레지스트리 키를 변경 해주지 않았기 때문이다. 이 키는 각 드라이브의 클래스 ID 가 저장된 하위 키에 Autorun.inf 에 의해서 자동 실행되도록 대상 파일이 기록되어 있다. 따라서 이 하위 키를 변경 또는 삭제하지 않으면 드라이브 열기를 시도할 때마다 레지스트리 키 값에 명시된 파일이 존재하지 않는다는 메시지를 출력하고 열기가 불가능 해진다. 물론 탐색기를 통해서나 다른 파일 관리자를 이용해서는 각 드라이브 탐색은 가능하다.

▶구글 Adsense 의 부정 클릭 유도한 사건

5월 중순 MSN 메신저로 다음과 같은 메시지가 국내외 퍼졌다.

www.whoadmit(제거됨).com <- Find out who deleted and blocked you from the MSN

위 링크를 클릭하여 자신의 MSN 메신저 아이디와 비밀번호를 입력하면 자신을 버디 리스트에서 차단하거나 삭제한 것을 알려준다고 한다. 하지는 이는 사용자를 속이는 것이고, 입력 받은 계정과 비밀번호를 이용하여 MSN 서버로부터 버디 리스트를 받아와 위 링크를 현재 온라인된 모든 사용자에게 발송하는 사건이 있었다. 초기에는 이 링크를 보내는 별도의 악성코드가 있다고 추정하였지만, 실제로는 그렇지 않고, 위 링크의 주소로 들어가 MSN 계정을 입력하면 현재 로그인 된 자신의 MSN 메신저는 로그아웃이 되고, 입력 받은 계정으로 MSN 서버로 로그인하여 버디 리스트를 가져와 위 링크를 보내는 것으로 최종분석 되었다.

또한 해당 링크의 페이지는 구글의 Adsense 광고가 다수 노출되어 있었다. 이러한 점을 종합해 보면 위 링크의 방문자들로 하여금 구글 Adsense 의 부정 클릭을 유도하여 돈을 벌어 드리려는 것으로 위와 같은 웹 페이지와 호스트를 운영하는 것으로 추정된다. 만약 위 링크에서 자신의 MSN 계정을 입력 했다면 혹시 있을지 모르는 개인 정보 도용을 예방하기 위해서라도 MSN 계정의 비밀번호를 지금 변경할 것을 권장한다.