[악성코드] Conflicker의 속임수와 대책

분류없음 2009.01.15 11:26
Conflicker의 여러 감염 벡터 중에 USB 디바이스를 통한 감염 방법이 있습니다.
SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc 에 자세히 설명 되어 있는데 정말 간단하면서도 강력하군요.
 
폴더 모양의 표준 shell32.dll 아이콘을 쓰면서,  Action을 "Open folder to view files"와 같은 형태로 해서 사용자를 속이는 군요.
 
autoruns.inf에 기본적으로 다음과 같은 내용이 들어 있다고 합니다.
[Autorun]

Action=Open folder to view files
Icon=%systemroot%\system32\shell32.dll,4
Shellexecute=.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
 
정말 이렇게 간단한 속임수를 막을 대책이 없다니... 오토런(autorun)을 기본적으로 사용하지 않는 것이 안전할 것 같습니다(How to correct "disable Autorun registry key" enforcement in Windows)
 
 USB 드라이브에서 자동으로 오토런(autorun)이 실행되는 것을 막으시려면 cmd.exe나 "실행" 창에 다음과 같은 명령을 복사하셔서 실행 시키시면 됩니다.

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 4

 
결국 인간이 불완전하니 어쩔 수 없는 것 같습니다. 그래서 이러한 공격을 사회 공학(Social Engineering)이라고 부르는 것이겠죠? 이 세상 많은 인간들이 결국은 컴퓨터 입장에서는 버그인 셈이죠, 아무도 고칠 수 없는... 교육으로도 불가능한... 그래서 결국 이렇게 불편함을 증가시키는 정책을 적용할 수 밖에 없는 것이죠.
 
 

Posted via email from bugtruck's posterous