-
2009. 11. 5. 19:37 Library/Hacking & Research
USB 바이러스 변종들은 어떻게 해서 만들어질까,,
해커들 이이리저리 연구해놓은 것을 해커가 직접 악용 할수도 있는데,
대개에 이 연구물들은 유출되거나 배포된후에 변종이 되어서 더욱 골치아프게 만든다.
3.5 , 5.2 인치 플로피 디스크의 경우 수동 장/탈착 형태로써, 오토런을 지원하지 않을 것 이다.
그래도 USB는 이동식 디스크로써 CD/DVD 롬 처럼 오토런 을 지원한다.
더욱 문제 되는것은 읽고 쓰기가 된다는점이다.
최신 버전이 적용된 PC 에서도 감염이 되어버리던데,
autorun.auf 파일은 Binary 형태의 실행 파일이다.
스크립트 형태도 존재 했지만, 실행 파일 형태는 더욱 강력 한것 같다.
정확히 확인 할수는 없었는데, 대개 dll 파일 형태로 소프트웨어에 부착 시켜버리는 것 같았는데,
dll의 실행은 Rundll32.exe 를 이용할 수도 있다.
그렇다고 Rundll32.exe 를 없에버리기도 그렇고..
막을 방법은 정말 백신또는 자동 실행 서비스를 사용 안함 해둬야 한다고 하는데,
물론 그렇게 쓰는것이 좋을지도 모르겠다.
고급 유저들은 직접 실행을하고, 자동실행이 오이려 불편 하다.
하지만 일반 유저들은 서비스 관리자 화면을 접해볼일이 거의 없다.
감염되었을시에는 폴더가 숨겨지는 형태로 사용자에게 피해를 주기도 한다.
게다가 시스템 폴더로 만들어 삭제,조작이 안되도록 만들어두기도 하는데,
이것은 기타 소프트웨어가 없는한 Win32 API 를 사용할줄 아는 개발자만이 고쳐 낼수 있는 부분 이었다.
그나마 다행스러운점은 디스크 메인이 아닌 내부 폴더는 속성을 안바꿔준다는 것이다.
이로써, 간단히 API 를 폴더를 트레이싱(돌아가며) 속성을 확인하고 바꿔주기만 하면 된다.
물론 아직 실험을 안해봤다. - 권한 오류가 날것인가 에 대한것..
추가 - Win32
레지스트리 숨김 폴더 해제,
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"UncheckedValue"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
Shell Hardware Detection 서비스 해제.
웹(Second) 드라이브 들도 오토런 실행이 됨.
Autorun.inf 파일은 있을때 지워버리는 것이 좋을 것 같은데요,
폴더 옵션 메뉴가 날아간건 아직 복원 방법을 모르고,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\]
"NoFloderOptions"=dword:00000000
exe 형태라면 프로세스 목록에서 찾아 제거 합니다.
vbs 나 cscript 파일이 실행중인경우 우선 파괴하고 제거를 시도 해야합니다.
숨김폴더 모두 보이기로 수정.
해커들 이이리저리 연구해놓은 것을 해커가 직접 악용 할수도 있는데,
대개에 이 연구물들은 유출되거나 배포된후에 변종이 되어서 더욱 골치아프게 만든다.
3.5 , 5.2 인치 플로피 디스크의 경우 수동 장/탈착 형태로써, 오토런을 지원하지 않을 것 이다.
그래도 USB는 이동식 디스크로써 CD/DVD 롬 처럼 오토런 을 지원한다.
더욱 문제 되는것은 읽고 쓰기가 된다는점이다.
최신 버전이 적용된 PC 에서도 감염이 되어버리던데,
autorun.auf 파일은 Binary 형태의 실행 파일이다.
스크립트 형태도 존재 했지만, 실행 파일 형태는 더욱 강력 한것 같다.
정확히 확인 할수는 없었는데, 대개 dll 파일 형태로 소프트웨어에 부착 시켜버리는 것 같았는데,
dll의 실행은 Rundll32.exe 를 이용할 수도 있다.
그렇다고 Rundll32.exe 를 없에버리기도 그렇고..
막을 방법은 정말 백신또는 자동 실행 서비스를 사용 안함 해둬야 한다고 하는데,
물론 그렇게 쓰는것이 좋을지도 모르겠다.
고급 유저들은 직접 실행을하고, 자동실행이 오이려 불편 하다.
하지만 일반 유저들은 서비스 관리자 화면을 접해볼일이 거의 없다.
감염되었을시에는 폴더가 숨겨지는 형태로 사용자에게 피해를 주기도 한다.
게다가 시스템 폴더로 만들어 삭제,조작이 안되도록 만들어두기도 하는데,
이것은 기타 소프트웨어가 없는한 Win32 API 를 사용할줄 아는 개발자만이 고쳐 낼수 있는 부분 이었다.
그나마 다행스러운점은 디스크 메인이 아닌 내부 폴더는 속성을 안바꿔준다는 것이다.
이로써, 간단히 API 를 폴더를 트레이싱(돌아가며) 속성을 확인하고 바꿔주기만 하면 된다.
물론 아직 실험을 안해봤다. - 권한 오류가 날것인가 에 대한것..
추가 - Win32
레지스트리 숨김 폴더 해제,
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"UncheckedValue"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
Shell Hardware Detection 서비스 해제.
웹(Second) 드라이브 들도 오토런 실행이 됨.
Autorun.inf 파일은 있을때 지워버리는 것이 좋을 것 같은데요,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\]
"NoFloderOptions"=dword:00000000
exe 형태라면 프로세스 목록에서 찾아 제거 합니다.
vbs 나 cscript 파일이 실행중인경우 우선 파괴하고 제거를 시도 해야합니다.
숨김폴더 모두 보이기로 수정.