Korea CIM City KCIM's Diary Tip & Tech BIM Story Event Education 신기능

CAD 파일을 삭제하는 악성코드 내용 및 임시 조치 방법

 

Trendmicro 보안 블로그에 CAD(DWG) 파일을 삭제하는 악성코드에 대한 내용이 2013년 11월 29일자로 등록이 되어 있습니다. 관련 내용 관련 내용 및 조치 방법(영문)

악성코드에 대한 간단한 특징 및 임시로 조치할 수 있는 방법을 알아보도록 하겠습니다.

 

악성코드 특징

모든 removable drives에서 DWG, JPG, MP3 파일을 찾아 "원본 파일명.DWG.VBS", "원본 파일명.JPG.VBS", "원본 파일명.MP3.VBS"과 같이 악성코드 파일을 복제합니다.

악성코드를 복제한 후 원본 파일 삭제합니다.

다른 악성코드와 같이 "작업 관리자"와 "레지스트리 편집기"(Regedit.exe)를 사용할 수 없게 합니다.

"레지스트리"에 악성코드가 자동으로 실행되도록 설정하여 감염을 확산합니다.

 

임시 조치 방법

파일 서버의 공유 폴더에 악성코드 파일 저장을 못하게 설정합니다.

Windows 2003 R2 서버 이상 버전에서 제공하는 "파일 서버 리소스 관리자"를 활용하여 파일 저장을 차단합니다.

설정 방법은 http://blog.kcim.co.kr/46의 "2. 파일 차단" 내용을 참조하여 설정하시기 바랍니다.

차단 파일은 "*.jpg.vbs", "*.mp3.vbs", " *.dwg.vbs"를 등록하시면 됩니다.

 

사용자 시스템의 레지스트리에서 "VBS" 파일이 실행 안되게 설정합니다.(참조 사항).

다음 내용을 "메모장"으로 "VBS_OPEN차단.REG"와 같이 REG 파일을 작성 후 실행하여 레지스트리에 등록하면 VBS 파일이 실행되면 아래 화면과 같이 에러 메시지 나타나면서 실행이 안됩니다. (VBS 파일을 OPEN 실행하는 파일 연결을 삭제함)

 

VBS 파일의 아이콘을 변경하여 사용자가 Virus 파일인지를 쉽게 인식할 수 있도록 VBS 파일의 아이콘을 변경하는 것이 좋을 것 같습니다.

다음 내용을 "메모장"으로 "VBS_아이콘변경.REG"와 같이 REG 파일을 작성 후 실행하여 레지스트리에 등록하면 VBS 파일의 아이콘이 아래와 같이 변경됩니다. (시스템을 재 부팅하여야 아이콘이 변경됩니다.)

 

 

기타 사항

아직 악성코드를 제거하는 프로그램이 많지 않은 것 같습니다. 모든 드라이브에 감염 파일이 있는지 확인하여 삭제하여야 할 것 같습니다.

2013/12/19일 현재 국내에서는 감염 내용이 없는 것 같습니다. 그러나 멕시코에서는 피해사례가 있어 확산 될 수 있으므로 외국에서 받은 E-mail, 문서 파일에 "D&D.vbs"와 같이 악성코드가 있는지 꼭 확인하시는 것이 좋을 것 같습니다.

악성코드에 감염되어 DWG, JPG, MP3 파일이 삭제된 경우 빠른 시일 내에 전문 복구업체에 복구를 의뢰하는 것이 좋을 것 같습니다.

 

위 내용은 본인(곰돌이)이 임시로 조치할 수 있는 내용을 정리한 것입니다. 사용자에게 적용하기 전에 충분한 점검을 하여 주시기 바랍니다.

 

Posted by kcim
TAG , ,

댓글을 달아 주세요