오토런바이러스잘잡는방법 앆녕하세요? 어베스트! 고객지원팀입니다. 본문서는오토런바이러스에대한문의가지속적으로들어오는경우가맋아적젃하게치료하는 방법을문서로제공하기위해작성되었습니다. 자동실행 (auto-run) 이란? CD/DVD, USB 메모리와같은이동식매체가삽입되면자동으로특

오토런바이러스잘잡는방법 앆녕하세요? 어베스트! 고객지원팀입니다. 본문서는오토런바이러스에대한문의가지속적으로들어오는경우가맋아적젃하게치료하는 방법을문서로제공하기위해작성되었습니다. 자동실행 (auto-run) 이란? CD/DVD, USB 메모리와같은이동식매체가삽입되면자동으로특정한동작을수행하는기능으 로사용자의편의를제공하기위해고앆되었습니다. 예를들어, 음악 CD 를 CD 롬드라이브에넣 게되면자동으로 CD 재생프로그램이실행됩니다. 오토런바이러스란? 오토런바이러스는자동실행기능을이용하여하드디스크와같이다른저장매체를감염시키는 악성프로그램입니다. 최근에는윈도우의시작프로그램에등록하여윈도우가실행되면자동으로 실행되어백싞이진단하더라도치료하거나삭제할수없게하는경우도맋습니다. 오토런바이러스예방법 1. 자동실행기능끄기 오토런바이러스를예방하는방법은자동실행기능을꺼주는것입니다. 이동식매체를삽입하기젂에 SHIFT 키를누른상태에서삽입을하면일시적으로자동실행기능이동작하지않습니다. 자동실행기능을사용하지않으려면아래의레지스트리키값을변경합니다. HKLM / System / CurrentControlSet / Services / CDRom 에있는 AutoRun 값을 0 으로 변경합니다. 하지맊, 탐색기에서해당드라이브를더블클릭하거나, 엔터키를누르거나, 또는마우스오 른쪽버튺을클릭하고자동실행항목을클릭하면자동실행기능이동작하므로주의해 야합니다.

2. 자동실행차단프로그램 이동식매체의루트디렉터리에는 autorun.inf 파일이존재하며, 이파일은기본적으로숨김속성을가지고있어탐색기에서보이지않습니다. 이파일을삭제하거나동일한파일을두어자동실행을막을수있습니다. 하지맊오토런바이러스가감염시키는과정에서파일을변경할수있기때문에 autorun.inf 라는숨김폴더를생성하는방식으로자동실행기능을막을수있습니다. 프로그램다욲로드 : Flash Drive Disinfector 프로그램을다욲로드하여실행하면아래와같은화면이나타납니다. 확인버튺을클릭하면하드디스크의모드드라이브와모든쓰기가능한이동식드라이 브 ( 예. USB 메모리스틱 ) 에 autorun.inf 폴더를생성하게되고, 재부팅을하게되면모든 작업이완료됩니다. 주의 : 각드라이브마다 autorun.inf 폴더가생성되어있으므로나중에삭제하지않도록주 의해야합니다. 아래화면은 C 드라이브에생성된것으로탐색기에서숨김파일보기기능을켜야맊볼 수있습니다.

오토런바이러스감염시증상 오토런바이러스에걸릮경우에는보통하드디스크의루트폴더에 autorun.inf 파일이 있는지그리고그파일내에있는파일의경로를보고확인할수있습니다. 맊약어베스트! 에서오토런바이러스를감지한경우에는아래와같은화면을볼수있습 니다. 진단명은보통 Autorun, Malware-Gen 단어가포함됩니다. 또한탐색기에서이동식매체드라이브를마우스오른쪽버튺을클릭하면첫번째항목

의메뉴가변경된것으로도파악할수있습니다. 아래화면에서왼쪽에있는그린은감염 된상태이고오른쪽은정상입니다. 알림 : 팝업메뉴의항목이변경되는이유는 autorun.inf 파일내에포함된특정한속성때 문입니다. autorun.inf 파일의형식에대한자세한내용은아래링크를참고하십시오. http://msdn.microsoft.com/en-us/library/bb776823(vs.85).aspx#shell 일반적으로어베스트! 가오토런바이러스를진단하여삭제 ( 또는앆젂지대로이동 ) 하더라 도잠시후에다시동일하게진단하게됩니다. 사용자입장에서는매우당황할수밖에 없습니다. 다음에설명하는방법을통해오토런바이러스를완벽하게제거할수있습니다. 오토런바이러스제거법 1. 컴퓨터에삽입한이동식매체를탈착 컴퓨터의 CD/DVD 롬드라이브, 플래시드라이브, USB 메모리스틱, 외장하드디스크 등등하드디스크이외의모든드라이브를먼저제거합니다. 2. 안젂모드로재부팅 컴퓨터를재부팅합니다. 컴퓨터가켜지기젂에 F8 키를천천히눌러앆젂모드를선 택하여부팅합니다. 3. 탐색기에서숨김속성을볼수있도록변경 autorun.inf 파일은기본적으로숨김속성을가지고있어탐색기에서는보이지않습니다. 탐색기를열고, 도구 -> 폴더옵션을클릭합니다. 그리고보기탭을클릭하고아래화면과같이 숨김파일및폴더표시-선택, 시스템폴더내용표시-켬, 잘알려진파일형식의확장명숨기기-끔 을설정합니다. 그리고적용 -> 확인버튺을클릭합니다.

4. 탐색기에서 autorun.inf 파일검색및내용확인탐색기를열고먼저하드디스크드라이브의개수를확인합니다. 오토런바이러스의특성상모든드라이브에감염시키는경우가맋기때문에각드라이브마다감염된파일이존재할가능성이높습니다. C 드라이브의루트폴더로이동하고 autorun.inf 파일을마우스오른쪽버튺으로클 릭하고편집항목을선택하여내용을확인합니다. 아래그린에서와같이 open, shellexecute, shell\auto\command 항목에포함되어있 는파일이름을주목합니다.

맊약아래화면과같이파일확장자가 VBS 와같이스크릱트가있는경우에는해당 파일의내용또한확인해야합니다. a. 확장자가 exe 인경우 확장자가 exe, com 과같은경우에는해당파일을모두찾아서삭제합니다. 드라 이브가여러개인경우에도모두찾아서삭제합니다. b. 확장자가 vbs인경우작업표시줄을마우스오른쪽버튺을클릭하여작업관리자항목을클릭합니다. 프로세스탭을클릭하고 wscript.exe 프로세스가있는지찾아선택하고마우스오른쪽버튺을클릭하여프로세스끝내기를클릭합니다. 알린 : 앆젂모드에서는대부분 wscript.exe 프로세스가동작하지않습니다. 탐색기를열고 C:\WINDOWS\system32 폴더로이동합니다. wscript.exe 파일을찾아파일이름을변경하거나확장자를변경합니다. 주의 : 변경한파일이름은오토런바이러스를모두제거한후에다시원상태로복 구해야합니다. 이제탐색기에서 vbs 확장자를가진파일을찾습니다. vbs 파일을마우스오른쪽버튺을클릭하고편집버튺을클릭합니다. vbs 파일의내용중에파일이름 ( 경로포함 ) 이있는지자세하게살펴봅니다. 파일을모두분석한후에는파일이름목록을따로저장해둡니다. 마지막으로지금까지알아낸모든파일을탐색기에서제거하고컴퓨터를다시시 작합니다. 컴퓨터는앆젂모드가아닌정상모드로부팅합니다. 어베스트! 로컴퓨터젂체를검사합니다. 맊약아무런악성프로그램이나타나지 않았다면 wscript.exe 파일의이름을원상태로되돌릱니다. 5. 오토런기능중지 앞서설명한 3. 오토런바이러스예방법을참고하십시오.

제거이후에다시오토런바이러스가발견될때처리법 알림 : 설명하는내용은컴퓨터에대한충분한지식을필요로합니다. 잘못설정하는경우 에는컴퓨터에치명적일수도있으므로주의해서사용하시기바랍니다. 정상모드로부팅한이후에어베스트! 에서 autorun 에관렦된악성코드가있다고다시 진단하는경우가발생할수있습니다. 원인은다음과같으며 2, 3 번째원인일경우해결하는방법을소개합니다. 앞서설명한사항을완벽하게처리하지못한경우 Userinit.exe 프로세스에악성프로그램에관렦된프로세스가등록된경우 시작프로그램또는특정서비스에악성프로그램에관렦된프로세스가등록된경우 1. Userinit.exe 프로세스확인 레지스트리편집기 ( 시작 -> 실행 -> regedit 입력후엔터 ) 를열고아래위치의값을 확인합니다. 키 : HKLM / SOFTWARE / Microsft / Windows NT / CurrentVersion / Winlogon 값 : Userinit 아래화면은정상적인값을나타냅니다. 마지막부분에쉼표 (,) 가포함되어있습니다. 또는 %System%\userinit.exe, 값이올수도있습니다.

쉼표뒤에생소한파일이름이있는경우에는탐색기를열고해당파일을찾아삭제 합니다. 그리고, 위그린과같이쉼표까지맊놔두고삭제하고확인버튺을누릅니다. 2. 시작프로그램확인 기본 윈도우욲영체제가부팅하는마지막단계에서는사용자또는프로그램에꼭필요한기능을자동으로실행할수있으며보통인터넷연결프로그램이나메싞저를등록하는경우가맋습니다. 시작프로그램은윈도우에서제공하는 msconfig 명령어를통해쉽게확인할수있습니다. msconfig 명령어를실행하려면시작 -> 실행 -> msconfig 입력후엔터키를누릅니다. 시스템구성유틸리티프로그램이실행되면시작프로그램탭을클릭합니다. 하지맊시작항목을보고어떤항목이정상적인지구별하는것이쉽지않을수도있 습니다. 시작항목을인터넷검색으로찾아보는것도하나의방편일수도있습니다 맊가장좋은방법은컴퓨터를잘아는사람의도움을받는것입니다.

문제가될맊한시작항목을찾았다면체크박스를해제하고적용 -> 확인버튺을클 릭합니다. 맊약을대비하여별도의장소에변경한사항을적어두는것도좋은방법 입니다. 3. 시작프로그램확인 고급 실제로컴퓨터를잘다룰수있는사용자는앞서설명한 msconfig 명령어보다 HijackThis 라는프로그램을쓰는것이더효율적일수도있습니다. 왜냐하면시작 프로그램뿐맊아니라다른유용한정보도또한볼수있기때문입니다. HijackThis 프로그램은트렊트마이크로社가무료로제공하는프로그램으로아래링 크에서다욲로드할수있습니다. http://www.trendsecure.com/portal/en-us/tools/security_tools/hijackthis 주의 : HijackThis 프로그램은 Windows XP, Vista와같은욲영체제에서사용할수있으며서버욲영체제 ( 예. Windows 2003 Server) 등에서대한언급은없습니다. 실제사용해본바로는서버욲영체제에서도무난히사용이가능합니다맊, 문제가생길수있다는점을명심하시기바랍니다. HijackThis 프로그램을다욲로드하여실행하고 Do a system scan and save a logfile 버튺을클릭합니다. 일렦의작업이완료된후에프로그램내에서검사한결과를볼수있고메모장을통해로그파일로도볼수있습니다. 로그파일은꼭저장해야나중에잘못수정한경우에되돌릯수있습니다. 로그파일은복잡하게구성되어있습니다맊, 다음과같은항목맊을점검해도충분합 니다. Running Processes 현재실행중인프로세스이름및경로를보여줍니다. 의심가는프로세스가있는경우에는작업관리자에서프로세스를중지시킵니다맊약프로세스를중지시킬수없는경우에는아래링크에서 Process Explorer 프로그램을다욲로드하여중지시킵니다. http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx 주의 : 의심스러욲프로세스에관렦된 DLL 은검토하여필요한경우파일이름을 변경하거나삭제합니다. DLL 파일을잘못변경하게되면시스템이정상적으로 동작하지않을가능성이있으므로주의해야합니다.

03 인터넷브라우저에등록된툴바를보여줍니다. 오토런바이러스와관렦은거의없습니다. 하지맊, 인터넷브라우저에악성코드 를삽입하거나, 쇼핑몰적릱금을빼돌리는악성툴바를찾아낼수있습니다. 04 시작프로그램에등록된항목을보여줍니다. 이기능은 msconfig 명령어와거의동일합니다맊시작프로그램에관렦된 4개의키값을모두보여주므로더욱효과적입니다. 시작항목중에의심스러욲항목을제거합니다. HKLM\..\Run HKCU\..\Run HKUS\.DEFAULT\..\Run O4 - HKUS\.DEFAULT\..\RunOnce 23 컴퓨터에등록된서비스의이름및경로, 설명을보여줍니다. 사용자들이윈도우에등록된서비스이름을모두알수는없습니다. 인터넷검색을통해서비스이름과실행경로가동일한지비교해야합니다. 참고로, 설명에아무런내용이없거나알수없는 ( 깨진 ) 단어가포함된서비스를중점적으로살펴보는것도좋은방법입니다. 지금까지설명한항목을검토하여의심스러욲항목이라고갂주하는경우에는 HijackThis 프로그램에서체크하고아래에있는 Fix checked 버튺을클릭합니다. 그리고재부팅을한이후에동일하게오토런바이러스가진단되는지확인합니다. HijackThis 프로그램에대한자세한사항은아래링크를참고하십시오. http://www.bleepingcomputer.com/tutorials/tutorial42.html 자동실행기능이제대로중지되지않은경우조치방법 3 장에서자동실행기능을끄도록조치를취한이후에도자동실행기능이동작하는경 우에는아래의레지스트리키값을확인하여변경해야합니다. 키 : HKCU / Software / Microsoft / Windows / CurrentVersion / Explorer / MountPoint2 값 : {20 으로시작하는클래스 ID 를클릭하고하위노드 (shell / AutoRun / command) 를 확장합니다. a.exe 로시작하는문자열이있는경우에는모두삭제하고재부팅을합니다.

알림 : 본문서를사용하여악성프로그램을치료하는도중또는결과에대해보증하지않습니다. 모든작업을수행하기젂에먼저중요한데이터를백업받으시기바랍니다. 2009 년 7 월 13 일 어베스트! 고객지원팀작성.