본문

폴더 숨기는 USB 바이러스 치료하기


공용 컴퓨터를 사용하다보면 USB에 상주하는 바이러스를 자주 만나게 된다. 이번에 만난 바이러스는 USB내에 있는 모든 폴더를 숨겨놓고 폴더이름으로 된 실행파일을 만드는 녀석이었다. 처음에 폴더들이 없어져서 큰일났다고 생각했지만 dir명령으로 바이러스가 폴더를 숨김설정해놓았다는 것을 알아내고 이것에 대해 조사해보았다.

이 바이러스에 대해 대충 확인해보니 루트에 autorun.inf 파일과 MS-DOS.com 파일을 생성해 놓았고, autorun 파일은 자동실행되어 바이러스를 실행시키는 구조로 되어있었다. 백신 프로그램(V3)에서 잡히지 않아 다른 해결책을 찾아보려 했지만 국내에서는 아직 널리 퍼지지 않았는지 찾기 힘들었다. 하지만 구글을 통해 Yahoo Answers에 있는 글을 접하였고, 이를 기반으로 글을 작성하였다.


(USB 메모리가 d드라이브에 위치할 경우를 예로 들었습니다. 물론 e드라이브에 위치할 경우에는 d:->e:로 바꾸시면 됨다)
* 바이러스 확인 방법
1. 시작->실행에서 cmd를 실행한다.(혹은 시작->프로그램->보조프로그램->명령프롬프트 실행)
2. dir d: /ah 를 입력하고 엔터키를 누른다. '이때 파일을 찾을 수 없다'고 나오면 발견되지 않은 것이다.

* 바이러스 치료 방법
1. 위의 2번째 명령을 실행시켰을 때 무언가 목록이 나온다면 바이러스에 감염되었을 확률이 높다. 공백을 포함하여 아래 쌍따옴표로 묶여진 부분을 복사한다. 필요하다면 del *.exe /f /q 명령을 사용한다.(루트폴더내의 모든 실행파일을 제거)
"

d:
attrib -s -h * /d /s
del ms-dos.com /f /q
del autorun.inf /f /q

"
3. cmd(검은 도스창)을 띄운 상태에서 창 안쪽에서 마우스 오른쪽을 누른 후 '불여넣기'를 하면 자동으로 명령들이 실행된다.
4. 폴더의 숨김설정을 해제하고 바이러스를 지우는 동안 잠시 기다린다(attrib 명령실행에 시간이 좀 걸린다)
5. 입력부분이 깜박이면 실행이 완료되었다는 것이다. (첨부사진 참고)



단, 이 바이러스가 감염된 컴퓨터 상에서 이 명령을 사용하면 지우자 마자 다시 바이러스가 USB를 조작하기 때문에 전혀 효용이 없다(물론 관련 프로세스를 종료한 상태에서 한다면 괜찮겠지만). 바이러스에 감염되지 않은 깨끗한 컴퓨터에서 위 명령을 실행시키는것이 가장 말끔하다.

댓글

Holic Spirit :: Tistory Edition

design by tokiidesu. powerd by kakao.