□ 개 요
o 최근 USB를 통하여 전파되는
악성코드의 감염피해가 증가
o 감염된 USB 이동저장매체를 사용하는 경우, 사용자
PC의 USB 단자에 연결만 하여도 감염되므로 주의필요.
□
USB 이동저장매체를 통한 악성코드 감염 원인
o 윈도우에서는 사용자 편의를
위하여 USB 이동저장매체를 삽입하였을 경우, 자동으로 사용자가 원하는 특정프로그램을 실행할 수
있도록 하기 위한 기능을 제공하는데, 이 기능이 악성코드 감염에 빈번히 악용되고
있음
□ 악성코드 감염피해 사례
o 최근 Conficker,
Autoruner등 USB를 통하여 전파되는 악성코드 감염피해 증가
※ Conficker의
경우, MS08-067 취약점을 이용하여 전파될 수 있음
o USB 이동매체를
이용하여 전파되는 악성 봇도 확인됨 (ise32.exe)
□ 감염 시
증상 예
o USB 이동저장매체를 통한 전파기능은 다수의 악성코드에서 확인되고
있으며, 감염 시 정보유출 및 타 악성코드 추가설치 등 다양한 피해가
발생할 수 있음
o USB 드라이브 루트폴더에 존재하지 않던
정상적인 윈도우 구성파일로 위장된 의심스러운 autorun.inf 파일이 생성됨 (삭제하여도 재생성)
※ autorun.inf 파일은 정상적인 용도로도 사용되는 경우도 있으나, 악성코드에 의하여
생성된 autorun.inf 파일의 경우 은닉형태로 존재하므로 악성코드 감염여부는 백신진단을 통하여 확인필요
□ 예방 및 대응
o
예방 : ① 이동 저장매체 프로그램 자동실행 기능을 사용하지 않도록 설정
※첨부파일(usbguard.zip) 압축해제 후
usbguard.exe 실행
(usbguard.zip 출처 : 국가사이버안전센터, NCSC)
② 예방① 조치
후, USB 이동저장매체 사용 전 백신 S/W 로 점검
o
대응 : 최신 백신 엔진 업데이트를 통한 PC 실시간 감시 및
주기적인 PC 전체 백신검사
[참고]
1. F.A.Q
o 감염된 USB 이동저장매체를 정상적인 PC에 연결만하여도 감염이 되나요?
- 예, 감염된 PC에서 사용된 USB 이동저장매체를 정상적인PC에 연결하여 사용할 경우,
연결만 하여도 감염되게 됩니다.
o USB 이동저장매체를 통하여 감염될
수 있는 대상 OS는 어떻게 되나요?
- Windows XP,
Windows Vista가 감염대상이며, 윈도우 2000 버전이하 OS는 해당되지 않습니다.
o usbguard.exe 프로그램을 사용하여 이동 저장매체 프로그램의 자동실행 기능을 사용하지 않도록
설정하면, 완전하게 감염을 예방할 수 있나요?
- 이동 저장매체
프로그램 자동실행 기능을 사용하지 않도록 설정할 경우는 감염된 USB를 PC에 연결하더라도
감염되지는 않습니다. 그러나, 감염된 USB 내의 autorun.inf 파일이나, 확인되지 않은 파일을
사용자가 직접 실행할 경우는 감염될 수 있으므로, 의심스러운 USB 저장매체의 경우,
사용 전에 백신을 통한 점검이 필요합니다.
[출처]
http://www.krcert.or.kr/secureNoticeView.do?num=308&seq=-1
usbguard.zip
