윈도우10(악성코드) - USB word.wsf 를 찾을 수 없습니다.

갑자기  USB 에 있는 폴더 들이 아래와 같이 전부 바로 가기로 변해있고, 해당 폴더를 열면, 아래와 같은 에러메세지가 뜹니다.

 

 

"Microsoft" "Word. Wsf'을(를) 찾을 수 없습니다. 이름을 올바르게 입력했는지 확인하고 다시 시도하십시오.

 

 

 

---

1. 증상 분석

구글링을 해보니 하우리에서 악성코드 분석정보가 검색이 되었는데, 정보는 아래와 같습니다.

 

• 악성코드명 : VBS.S.Autorun.120659
• 바이로봇 버전정보 : 2016-05-31.02
• 활동 OS 플랫폼 : MS Windows
• 감염증상 :
  1. 해당 악성코드를 실행할 시 다음 경로에 자가 복제한다.
     (%APPDATA%)\Microsoft Office\Microsoft Word.WsF
  2. 레지스트리를 등록하여 부팅 시 자동으로 실행되도록 한다.
     키 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     이름 : Microsoft Word
     값 : (%APPDATA%)\Microsoft Office\Microsoft Word.WsF
  3. 이동식 디스크의 원본 파일들은 숨김 파일로 변경되며, 원본 파일에 대한 바로가기 파일이 생성되어 사용자에게 보여진다.
  4. 생성된 바로가기 파일을 실행할 시 원본 파일과 함께 악성 스크립트가 동작한다.
  5. 다음과 같은 서버와 지속적으로 통신을 시도하며, 서버로 명령을 받을 경우 추가적인 악성행위를 유발할 수 있다.
     maroco.linkpc.net (105.98.61.219)
     maroco.myq-see.com (197.200.87.247)

감염증상 중 2번에 있는 Microsoft Word.WsF 파일을 자동으로 실행하려고 하다가, 아무래도 기본으로 깔려있는 바이러스 백신이 해당파일을 삭제해서 에러가 나는 것 같고, 감염증상중 3번에 있는 바로가기로 보이는 부분도 현재 제가 겪고 있는 증상과 동일합니다.

 

※ 참고 : http://www.hauri.co.kr/security/analysis_view.html?intSeq=14807&page=4&SelectPart=

(주)하우리

---

2. 치료하기

- 백신으로 치료

하우리 사이트에서는 '바이로봇 2016-05-31.02 이상 버전으로 치료된다.' 고 언급하고 있습니다. 제가 가진 백신은 V3 Lite 무료버전이니 일단 V3 에서 치료해보기로 합니다.

 

 

이미 치료를 마쳤는지, 검색결과에 해당 악성코드가 잡히지 않습니다. 하우리에서 분석을 했으니, 하우리 백신 프로그램을 돌려보도록 합니다. (링크 : http://www.hauri.co.kr/download/freedownload.html)

 

개인용 체험판을 설치해서 치료를 시도해 봅니다.

이 프로그램은 현재 시스템 검색은 없고, 선제 방어로하는 시스템만 돌아갑니다. 그러면 실패.. 알약을 시도해봅니다.

 

https://www.estsecurity.com/public/product/alyac

 

 

 

알약서 찾긴하지만, 치료에는 실패를 합니다. 알약에서 진단하는 악성코드명은 Trojan.LNK.Agent.JZ 입니다.

 

그래서 일단 실행중인 서비스를 모두 중지하고, 재부팅을 해서 다시 치료를 합니다.

 

일단 윈도우 키를 눌러서 앱을 검색해 줍니다. ms 라고 타이핑하면 나오는 System Configuration 을 실행해줍니다.

 

 

 

서비스 탭으로 가서 모두 사용 안함을 눌러줍니다. 이 후 재부팅을 해주면, 일단 바이러스 치료는 가능해집니다.

※ 바이러스 치료 이후 다시 모두 사용으로 바꾸셔야 문제가 생기지 않습니다.

 

 

 

 

 

치료 성공이라고 말은 뜨는데, 막상 다시 들어가보니,

 

 

아직은 치료가 된 것 같지 않습니다. 그러더니, V3가 갑자기 악성코드를 치료했다고 재부팅하라고 합니다. 선알약 후V3였습니다.

 

이 후 재부팅을 하니, 폴더에 아무파일도 안보이는 문제가 생겼습니다. 그런데 파일이 없어서 비어있는게 아니고 사실은 파일이 있는데, 표시만 안되고 있는 상태입니다.

 

분명 40mb 정도 용량을 차지하고 있는게 보이는데, 파일이 나타나질 않습니다. 

 

 

 

- Attrib 명령어로 숨긴 파일 찾기

 

 

그러면 일단 명령 프롬프트를 관리자 권한으로 실행해봅니다. 윈도우 키 → cmd 를 치면 나오는 명령 프롬프트에서 마우스 오른쪽 버튼을 눌러서 관리자 권한으로 실행합니다.

 

 

그다음 attrib g:\*.* 을 타이핑해 검색을 해봅니다. 제 경우는 파일탐색기 상에서 USB 가 G:\ 이지만, 사용자에 따라 드라이브 문자는 다를 수 있습니다.

 

 

 

파일들이 S, H 전부 걸려있습니다. 모든 속성을 일단 제거해 줍니다. attrib -s -h g:\*.* 을 타이핑 해서 실행해주면. 아무메세지가 안뜨는데 실행이 잘 된 상태인겁니다. 만약에 안되면, 아래와 같이 에러메세지가 뜹니다.

 

 

파일은 떴으나 폴더가 아직 보이질 않습니다.

 

 

공인인증서 파일이 보여야하는데, 안보이므로 다시 검색을 해봅니다. 

 

 

공인인증서 폴더인 NPKI 폴더도 숨김처리되어 있어서, 숨김해제를 아까와 같은 방식으로 진행해줍니다. 다른 폴더도 있는 것 같은데 폴더 이름이 기억이 나질 않습니다. 그래서 일단 attrib 명령어를 실행해서 명령어 사용법을 살펴봅니다. 

/S /D 옵션을 통해 모든 하위 폴더도 설정을 변경할 수 있습니다.

 

 

다시 attrib -s -h /s /d g:\*.* 을 실행하면 숨겨져있던 다른 폴더들도 보이게 됩니다. 제 경우는 S H 두개의 속성만 걸려있었지만, 상황에 따라서 다른 속성도 걸려 있을 수 있습니다. 일단 걸려있는 속성들 모두 - 처리해서 없애주면 됩니다.

 

 

 

 

- 레지스트리 편집

 

레지스트리 편집을 실행합니다. 윈도우키 누른다음 'regedit' 를 타이핑하고 레지스트리 편집기를 실행합니다.

 

 

레지스트리 편집기에서 해당 폴더로 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

가서 보니 Microsoft Word  값이 없습니다.

 

다행히 레지스트리 값도 백신이 치료한 것 같습니다.