Trojan: VBS/Autorun.B

평소와 다름 없이 Filezilla 를 실행시키고, 몇 가지 작업을 하려고 보니 이게 왠걸… 모든 드라이브 루트에 autorun 으로 시작되는 수 많은 파일들이 있는게 아닙니까! filezilla server 를 띄워놓았기 때문에 ftp 를 통해서 누군가 접근한게 아닌가 싶었지만 ftp 로 접근할 수 없는 드라이브에도 똑같은 파일들이 존재하는 것으로 보아 바이러스/트로이목마 에 감염된게 아닌가 의심이 들더군요. 검색을 해보니 역시나 트로이목마 였습니다.

이 바이러스에 걸리게 될 경우 주기적으로 모든 드라이브의 루트에 autorun 과 관련된 파일을 생성시키게 되는데, 요새는 usb 드라이브를 이용해서 파일을 주고 받는 일이 많다보니 usb 드라이브를 통해 이 트로이목마에 감염될 확률이 굉장히 높습니다.

v3 2007 에서는 잡아내지를 못하는 것 같고. 캐스퍼나 f-prot 에서는 잘 찾아내네요. 백신 혐오증이 있으신 분들이라면 c:\windows\system32 폴더에서 autorun 으로 시작하는 모든 파일을 제거하시고, (거기 그런 파일이 있을 이유가 없으니 다 지워도 될 것 같습니다.) 다른 드라이브 루트에 있는 autorun.* 파일도 제거하시면 됩니다.

단 내 컴퓨터에서 c:, d: 같은 드라이브를 더블클릭해서 열 경우 autorun 이 실행되기 때문에 system32 폴더에 있는 파일을 지운 후라도 다시 감염이 될 수 있습니다. -_-; 꼭 마우스 오른쪽 버튼을 누르신 후 ‘탐색’ 을 선택하시기 바랍니다.

또 이 트로이목마에 감염되어 있을 경우 ‘숨김파일 표시’ 옵션을 키더라도 autorun 파일이 보이질 않습니다. Filezilla 의 탐색기나 Nero 의 탐색기 등을 이용할 경우에는 파일이 제대로 표시되므로 이런 프로그램들을 이용하시면 간단히 트로이목마에 감염되었는지 여부를 알 수 있겠네요.

Published by

2 thoughts on “Trojan: VBS/Autorun.B”

  1. 응 그거 맞아. 나도 걸린적 있는데.
    어찌 고쳤더라. 백신들이 못잡아서 여차여차 검색해서 잡았던듯.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">