늦었지만 새해 복 많이 받으세요.
토닥이입니다.
본 블로그의 정체성이라고 할 수 있는 PC 관련 글로 새해 첫 글을 올립니다.
오늘 주제는 'USB 바로가기 바이러스'입니다.
PC를 거칠게 사용하는 분이라면 USB(또는 외장하드)를 연결했더니 파일이 모두 '바로가기'로 바뀐 경험, 한번쯤 있으실거에요.
▲ 실제 감염된 USB
이렇게 감염된 PC는 다른 USB를 꼽아도 동일하게 '바로가기'로 바뀌고, 감염된 USB를 다른 PC에 꼽으면 그 PC도 감염이 됩니다.
▲ 이 악성코드는 USB를 매개로 좀비처럼 확산된다.
제 기억과 경험에 따르면 이 패턴은 정말 오래된 악성코드입니다.
실질적으로 파일이 삭제되는 것은 아니기에 간단한 툴로 복구가 되며(포스팅 후반부에 소개, 100% 복구가 됩니다.) 열심히 감염시켜봤자 악성코드 제작자에게 별다른 실익이 있지도 않은데 윈도우98시절부터 끈질기게 생명력을 이어오고 있네요.
전통을 자랑하는 악성코드인만큼 유명백신에서 대부분 잡을 수 있지만...
오늘 소개해드린 녀석은 신종 내지 변종으로 보입니다. 일반적으로 사용하는 백신들.
V3, 알약 모두 탐지하지 못했습니다.
▲ 이 친구들은 못잡았어요
(글을 처음 쓸 때가 18년 11월이었습니다. 미루다미루다 올리는게 19년 1월. 즉, 지금은 잘 모르겠네요.)
딱히 백신업체 잘못은 아닌게...
이 변종은 윈도우 기본파일을 사용하기에 잡기가 어려울 것 같습니다.
변종이 워낙 많기에 해결방법이 100% 동일하지는 않겠지만 대동소이하리라 보고, 제가 경험했던 패턴의 해결책을 공유합니다.
일단, 윈도우 검색창에 'MSCONFIG'를 타이핑 후 '시작프로그램'에 'MicrosoftSearchindexer'가 있는지 확인 해보세요.
있다면 이 놈의 체크부터 풀어줍니다.
위 이미지에 '노란색 박스'로 표시된 경로로 가면 악성파일이 있는데요.
해당경로를 찾아가기 힘드니까 그냥 EVERYTHING(link)에서 'MicrosoftSearchindexer'를 검색합니다.
이 두파일을 삭제하시고, 휴지통도 비워주세요.
PC쪽에 할 조치는 끝났습니다.
이제 USB쪽에 파일을 복구합시다.
USB에 cure.exe파일을 복사해 넣고 실행하면 됩니다 그러면 '보이지 않던 파일'이 정상적으로 다시 보일거에요.
이제, 부팅 한번 해주시고 PC를 사용하면 됩니다.
마지막으로 혹시 백신업체에서 이 글을 보신다면...
국내에서 많이 보고되지 않는 것 같습니다만 이 패턴도 추가해주세요.
©2017 토닥이랑
[postscript]
- 해외 백신인 Dr.Web에서는 이 악성코드를 'Trojan.MulDrop 시리즈'로 분류하고 있습니다. 국내 웹보다는 해외에서 유행하는 패턴같습니다.