기타 팁

recycle.exe, autorun.inf 등 자동실행 바이러스 퇴치하기

MIRiyA☆ 2009. 11. 25. 15:55

그저께부터 몹쓸 바이러스 하나때문에 고생을 좀 했습니다. USB를 타고 이동식 디스크로 전파되는 녀석인데, 꽂기만 하면 자동으로 온 컴퓨터에 퍼지고, 감염된 드라이브의 폴더들을 모두 숨겨버리는 고약한 놈이라 영 성가십니다. 카스퍼스키, V3, 피씨그린, Avast! 등을 몽땅 동원해도 가끔씩 탐지만 될 뿐 완벽하게 삭제되지 않습니다. 인터넷에서 autorun.inf, autorun.exe, recycle.exe 등으로 검색해서 나온 블로그 글들을 참조하여 아래 해결 방법을 올려봅니다.


이 바이러스에 감염되면 다음과 같은 증상이 나타납니다.



이렇게 USB를 꽂아보면 폴더가 모두 사라져있고, 이전 폴더 이름을 본딴 수상한 실행파일(*.exe)이 생겨나있습니다. 용량들은 모두 1,417KB입니다. 똑같은 용량의 프로그램이 폴더 모양을 하고, 폴더 이름을 뒤집어쓰고 앉아있으니 굉장히 수상하지요. 실제로 저 파일을 클릭하면 원래 폴더가 새창으로 열리고, 컴퓨터에 연결된 모든 이동식 디스크에 바이러스가 쫙 퍼지게 됩니다. 오로지 번식만 하고 딱히 뭘 날리고 지우는건 아니지만, 엄한 폴더를 숨겨놓고 바이러스 파일을 클릭해야 열게 해준다는건 몹시 짜증나는 일입니다.


이놈은 발정난 생쥐마냥 번식력도 격해서 한명이 감염되면 이동식 디스크를 타고 온 컴퓨터에 다 퍼져버립니다. 제가 일하는 곳에서는 4대의 카메라와 3개의 USB, 5대의 PC를 사용하는데, 한대만 감염되면 순식간에 대부분의 PC와 이동식 디스크에 퍼져버립니다. 몹시 불결하여 키보드를 만지기 두려울 지경입니다.



도구-옵션에 들어가서 숨김파일을 표시하면 위와 같이 예전 폴더들이 숨김 지정 되어있고, 역시 수상한 Recycle.exe라는 파일이 보입니다. recycle이라니, 자기가 무슨 휴지통 폴더냐고요. 저놈 역시 1,417KB 용량인데, 바이러스 파일인게죠. 



싹 지워줍니다. 감염된 폴더명.exe 파일, Recycle.exe, autorun.inf 파일들을 다 지워야합니다. 그 외에 아무튼 저런 비슷한 용량의 파일, 수상한 파일이 보이면 다 지웁니다. 다 지웠으면 그 상태에서 USB를 바로 뽑아버립니다. USB에서 바이러스는 다 사라졌지만 PC에는 아직 남아있기 때문입니다. 뽑았다 끼우면 말짱 도루묵이니 빼서 잘 보관하셔야합니다.



시작-실행에서 msconfig라고 입력하고 엔터.



시작 프로그램 항목에서 수상한 녀석을 발견할 수 있습니다. 저 6D622E라는 이름은 그때그때 랜덤하게 바뀝니다. 뭔가 숫자와 영어가 섞여있는놈이 있다면 일단 의심하세요. 

'명령'줄에 보면 C:\WINDOWS\system32\95AC8D 처럼 역시 영어와 숫자가 혼합된 폴더가 보입니다. 저 폴더를 기억해둡시다. 바이러스의 은신처를 알아낸거죠. 저걸 폭파시켜야 합니다. 하지만 지금은 아닙니다. 저 폴더를 지워버려도 지금 메모리에 떠있는 바이러스가 금방 다시 만들어버리기 때문입니다. 그럼 일단 메모리에 떠있는 바이러스를 처리하는게 순서겠지요. Ctrl+Alt+Delete 키를 눌러서 작업관리자를 켜줍니다. 



6D622E라고 아까 봤던 수상한 녀석이 보입니다. 저게 메모리에 떠서 컴퓨터를 오염시키고 있습니다.



저놈 위에 우클릭해서 '프로세스 끝내기' 메뉴를 클릭합니다. 비슷한 의심가는 놈이 있으면 역시 끝내버립시다. 여기까지 했으면 일단 활동하던 바이러스를 잠재운 셈입니다. 이제 벽장안에서 잠자던 뱀파이어의 심장에 말뚝을 박을 차례죠. 본체를 부숴버리러 갑시다. 아까 msconfig 창에서 폴더 기억해놓으셨죠?



C:\WINDOWS\system32 폴더로 이동해서, 아까 그 문제의 폴더를 찾아 지워버립니다. 95AC8D라.. 참 수상한 이름이죠. 폴더 채로 날려버립니다. 여기까지 했으면 PC의 바이러스는 모두 지워진 셈입니다. 이제 컴퓨터를 재부팅하고, Ctrl+Alt+Delete를 눌러서 아까처럼 이상한 프로세스가 있는지 확인하고, 아까 뽑았던 USB를 꽂아서 최종 확인을 합니다. 만약 폴더명.exe의 파일들이 눈에 띈다면 바이러스 퇴치에 실패한겁니다. 다시 하셔야죠. 


여기서 중요한 포인트는 '자동실행'입니다. USB나 SD카드 등등에 바이러스가 들어있을 경우, 자동실행 기능으로 인해 그걸 꽂은 PC를 포함하여 그 PC에 꽂혀있던 다른 이동식 디스크에 모두 바이러스가 퍼져버립니다. 그리고 그 악순환이 계속 반복되는겁니다. 따라서 이동식디스크의 자동실행 옵션을 반드시 끄시고, 바이러스 퇴치 작업을 수행한 후, 다른 PC와 이동식디스크들을 빠짐없이 점검하셔야합니다. 싹 밀고나서 하나라도 빠뜨릴 경우 다시 해야함은 물론입니다.


만약 autorun.inf 파일이 지워도 지워도 계속 나올 경우, 자동실행이 계속 될 경우 아래의 프로그램을 병행하셔서 사용하면 바이러스를 퇴치할 수 있습니다.


Flash_Disinfector.zip


압축을 풀고 프로그램을 실행하면 뭔 창 하나 뜨는데, 버튼 한번 눌러주면 잠시 화면이 깜빡이더니 Done! 하고 나올겁니다. 그럼 다 된겁니다. 뭘 한거냐 하면, 자동으로 PC와 USB에 붙어있는 바이러스 파일들을 치료해주고 재감염 방지까지 해놓은겁니다. autorun.inf 파일을 임의로 생성해주는데, 이건 삭제 불가에 숨김 처리가 되어있어서 바이러스가 건드리지 못하게 됩니다. 이제 자동실행으로 괴롭히지 않을테니 앞에서 설명했던 방법으로 수동 삭제 해주시면 됩니다. 그 외에 안전모드로 부팅해서 제거 작업을 해보시는것도 추천드립니다. 웃기는건 각종 백신 프로그램들이 이걸 전혀 못잡는다는거죠.


이 바이러스는 변종이 아주 많기 때문에 위 증상 말고 다른 증상이 나타날수도 있습니다. 여러가지 방법을 병행하여 부디 바이러스와의 싸움에서 필승하시기 바랍니다.



Flash_Disinfector.zip
0.1MB