원래 AutoRun.inf는 USB나 외장하드가 컴퓨터에 연결되었을 때 자동 실행 옵션을 담아두는 정보 파일입니다. 그러나 일부 바이러스들은 윈도우가 항상 AutoRun.inf를 읽어 온다는 점을 악용하여 이 파일의 내용을 변경하기도 합니다. 주로 확장자가 VBS나 EXE인 파일들이 실행되게 되는데, 이 파일들은 시스템에 해를 끼치거나 저장 장치 내의 파일들을 마음대로 바꾸는 특성이 있습니다.




       AutoRun 바이러스들이 주로 하는 것들

 

1. 저장 장치를 하나의 프로그램처럼 인식하도록 한다.

2. 저장 장치 내의 모든 파일들을 숨김 속성으로 변경한다.

3. 저장 장치 내에 EXE나 VBS파일을 만든다.

4. 저장 장치에 지연된 쓰기 실패를 유발시킨다. 




실제로 제 USB도 1번 상황의 AutoRun 바이러스에 걸린 적이 있습니다. 다행이 안에 파일이나 폴더들이 이상해지지는 않았지만 USB 접근이 잘 되지 않았던 문제가 있습니다. (아래 사진)





그럼, 이제부터 그런 바이러스들을 해결해 보도록 하겠습니다.



명령 프롬프트를 관리자 권한으로 실행합니다. 이 명령 프롬프트는 작업 중 계속 사용합니다.




(2015.01 업데이트) 명령 프롬프트에서 아래 명령을 입력합니다.



       드라이브명
       takeown /f Autorun.inf
       takeown /f Autorun.vbs
       icacls Autorun.inf /grant administrators:F
       icacls Autorun.vbs /grant administrators:F
       attrib AutoRun.inf -r -h -s
       attrib AutoRun.vbs -r -h -s
       del /f AutoRun.inf
       del /f AutoRun.vbs 






여기서 드라이브명은 감염된 USB의 드라이브명을 입력하시면 되고(예: E:) attrib 명령은 파일들의 속성(숨김, 읽기전용 등)을 변경하는 명령이고 아래의 두개 del 명령은 자동 실행 관련 파일들을 삭제하는 명령입니다.



다시 명령 프롬프트에서 아래 명령을 입력합니다.



 dir /ahs 




그러면 아마 아래와 비슷하게 나올 것입니다.


         J 드라이브의 볼륨에는 이름이 없습니다.

 볼륨 일련 번호: 1A1C-B5E3

 J:\ 디렉터리

 2013-07-06  오후 10:17    <DIR>          $RECYCLE.BIN
 2013-07-08  오전 05:15    <DIR>          1
 2013-07-08  오전 05:15    <DIR>          2
 2013-07-08  오전 05:15    <DIR>          3
 2013-07-08  오전 05:15    <DIR>          System Volume Information
               0개 파일                   0 바이트
               5개 디렉터리   1,025,097,728 바이트 남음 



여기에서 $Recycle.Bin 이나 System Volume Information 같은 것은 제외하고 다른 폴더명들을 기억해둡니다.


다시 아래 명령을 입력합니다.



       attrib -h -s [폴더1] /s /d

attrib -h -s [폴더2] /s /d 

... 




여기서 [폴더1] 과 [폴더2] 부분에는 아까 dir 명령으로 본 폴더를 넣습니다. 다른 폴더들도 같은 방법으로 작업합니다.




컴퓨터를 다시 시작해 줍니다. 왜 다시 시작을 해야 하냐면 시스템에 상주하고 있는 바이러스들도 가끔 있을 수 있기 때문입니다.

 

마지막으로, 바이러스 백신으로 해당 USB를 검사해 줍니다.

공유하기 링크
 댓글
  • 프로필사진 비밀방문자
    관리자만 볼 수 있는 댓글입니다.
     2015/01/16 11:53
  • 프로필사진 컴퓨터매니아
    '[b]atrrib[/b]' 가 아닌 '[b]attrib[/b]' 를 입력하셔야 합니다. 그래도 안되시면 [b]c:\Windows\System32\attrib.exe[/b] 처럼 전체 경로로 입력해 보시기 바랍니다.

    'attrib'는 숨김 파일의 속성을 숨겨지지 않은 파일로 변경하는 명령입니다.
     2015/01/20 16:46
  • 프로필사진 개장수
    안녕하세요^^, 우선 친절한 답변 감사드립니다.

    지적해주신 'atrrib'은 오타였습니다. 실제론 'attrib'이라고 제대로 된 명령어를 입력했었습니다.

    말씀해주신대로 실행을 해봤는데 '역시나' 입니다. 관리자 명령 프롬포트, 안절모드 모두 '액세스 거부'입니다.

    참 알 수가 없군요. 그냥 특정한 증상은 없으니 아예 백신프로그램을 꺼놓고 신경을 끄고 지내는게 차라리 방법이 아닐까 하는 생각마저 드는 군요...

    '백문이 불여일견' 이라 했습니다. 편리한 이해를 돕고자 아래 링크로 연결하시어 스크린 샷을 둘러봐 주셨으면 합니다. 꾸벅


    http://blog.naver.com/oldpic316/220252207740
     2015/01/26 05:00
  • 프로필사진 컴퓨터매니아
    블로그에 답글 달아드렸습니다.
     2015/01/27 17:18

             
1 ... 19 20 21 22 23 24 25 26 27 ... 79