늦었지만 새해 복 많이 받으세요.
토닥이입니다.
본 블로그의 정체성이라고 할 수 있는 PC 관련 글로 새해 첫 글을 올립니다.
오늘 주제는 'USB 바로가기 바이러스'입니다.
PC를 거칠게 사용하는 분이라면 USB(또는 외장하드)를 연결했더니 파일이 모두 '바로가기'로 바뀐 경험, 한번쯤 있으실거에요.
이렇게 감염된 PC는 다른 USB를 꼽아도 동일하게 '바로가기'로 바뀌고, 감염된 USB를 다른 PC에 꼽으면 그 PC도 감염이 됩니다.
제 기억과 경험에 따르면 이 패턴은 정말 오래된 악성코드입니다.
실질적으로 파일이 삭제되는 것은 아니기에 간단한 툴로 복구가 되며(포스팅 후반부에 소개, 100% 복구가 됩니다.) 열심히 감염시켜봤자 악성코드 제작자에게 별다른 실익이 있지도 않은데 윈도우98시절부터 끈질기게 생명력을 이어오고 있네요.
전통을 자랑하는 악성코드인만큼 유명백신에서 대부분 잡을 수 있지만...
오늘 소개해드린 녀석은 신종 내지 변종으로 보입니다. 일반적으로 사용하는 백신들.
V3, 알약 모두 탐지하지 못했습니다.
(글을 처음 쓸 때가 18년 11월이었습니다. 미루다미루다 올리는게 19년 1월. 즉, 지금은 잘 모르겠네요.)
딱히 백신업체 잘못은 아닌게...
이 변종은 윈도우 기본파일을 사용하기에 잡기가 어려울 것 같습니다.
변종이 워낙 많기에 해결방법이 100% 동일하지는 않겠지만 대동소이하리라 보고, 제가 경험했던 패턴의 해결책을 공유합니다.
일단, 윈도우 검색창에 'MSCONFIG'를 타이핑 후 '시작프로그램'에 'MicrosoftSearchindexer'가 있는지 확인 해보세요.
있다면 이 놈의 체크부터 풀어줍니다.
위 이미지에 '노란색 박스'로 표시된 경로로 가면 악성파일이 있는데요.
해당경로를 찾아가기 힘드니까 그냥 EVERYTHING(link)에서 'MicrosoftSearchindexer'를 검색합니다.
이 두파일을 삭제하시고, 휴지통도 비워주세요.
PC쪽에 할 조치는 끝났습니다.
이제 USB쪽에 파일을 복구합시다.
USB에 cure.exe파일을 복사해 넣고 실행하면 됩니다 그러면 '보이지 않던 파일'이 정상적으로 다시 보일거에요.
이제, 부팅 한번 해주시고 PC를 사용하면 됩니다.
마지막으로 혹시 백신업체에서 이 글을 보신다면...
국내에서 많이 보고되지 않는 것 같습니다만 이 패턴도 추가해주세요.
cure.7z©2017 토닥이랑
[postscript]
- 해외 백신인 Dr.Web에서는 이 악성코드를 'Trojan.MulDrop 시리즈'로 분류하고 있습니다. 국내 웹보다는 해외에서 유행하는 패턴같습니다.
