울지않는벌새 : Security, Movie & Society

Suspicious Autoloading Entries 진단이 반복되는 이유

벌새::Security
안철수연구소(AhnLab) V3 보안 제품을 이용하는 사용자 중에서 악성코드에 감염된 경우 Suspicious Autoloading Entries 진단명으로 진단이 이루어지는 경우가 있습니다.

해당 진단명은 특정 악성 파일을 진단하는 것이 아니라 시스템 시작시 자동으로 실행되도록 설정된 의심스러운 레지스트리 값을 찾아서 진단하는 것입니다.

 

그런데, 그림과 같이 Suspicious Autoloading Entries - (파일 경로) Win.ini 경로의 파일을 진단하여 자동으로 삭제 처리하지만 사용자가 재검사를 할 때마다 계속 반복적으로 진단되는 경우가 발생하는 경우가 있습니다.

그렇다면 왜 반복적으로 Suspicious Autoloading Entries 진단명으로 진단이 이루어지는지에 대해 간단하게 알아보도록 하겠습니다.

앞서 이야기한 것처럼 해당 진단명은 특정 파일 진단이 아니라 레지스트리 값을 진단한다고 하였고, 해당 진단명에서 표시하는 Win.ini 파일은 실제 존재하는 악성 파일은 아닙니다.

예를 들어, 이번 주말에 변조된 인터넷 사이트를 통해 유포된 온라인 게임 계정 탈취 목적의 악성코드에 감염된 경우 V3 보안 제품을 이용하여 간편 검사를 진행하면 Suspicious Autoloading Entries 진단명만 반복적으로 진단되고 있습니다.

 

[자동 실행을 위한 추가된 레지스트리 값]

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
 - load = :: 변경 전
 - load = C:\WINDOWS\system32\Common.exe :: 변경 후

 

해당 악성코드의 경우 시스템 시작시 레지스트리 값에 Common.exe 파일을 등록하여 자동 실행되도록 구성되어 있으며 V3 보안 제품에서는 Suspicious Autoloading Entries 진단명으로 해당 레지스트리 값을 진단하고 있습니다.

 

사용자가 의심스러운 시작 프로그램을 가장 빠르게 확인할 수 있는 프로그램으로 Windows Sysinternals AutoRuns 프로그램을 이용하여 문제의 레지스트리 값을 확인하였다고 가정을 해보겠습니다.

 

사용자(V3 보안 제품)가 찾은 Common.exe 파일을 매번 자동으로 시작되도록 하는 레지스트리 값을 제거한 후, V3 보안 제품을 이용하여 재검사를 실시하면 또 다시 진단되는 현상을 발견할 수 있습니다.

 

이는 해당 레지스트리 값을 삭제하여도 여전히 메모리에 상주하는 Common.exe 프로세스가 자동으로 삭제된 레지스트리 값을 복원하여 보안 제품을 통한 삭제 또는 수동 삭제를 방해하고 있기 때문입니다.

특히 해당 프로세스는 작업 관리자, Process Explorer 등을 통해 종료가 되지 않으므로 Common.exe 프로세스 종료 및 삭제를 하지 않는한 Suspicious Autoloading Entries 진단은 계속적으로 발생합니다.

그러므로 사용자는 Suspicious Autoloading Entries 진단이 반복적으로 이루어지는 경우에는 AutoRuns 프로그램과 같은 도구를 이용하여 수상한 시작 프로그램 레지스트리 값을 찾아 수정(또는 삭제)을 하고, 추가적으로 관련 파일을 반드시 종료 및 삭제를 해야지 더 이상 해당 진단이 이루어지지 않습니다.