울지않는벌새 : Security, Movie & Society

폴더 옵션의 "숨김 파일 및 폴더" 복원 방법

벌새::Computer & IT

최근 온라인 게임핵(OnlineGameHack) 악성코드 유포를 통해 감염된 PC 환경에서 사용자가 악성 파일을 찾지 못하게 할 목적으로 폴더 옵션의 "숨김 파일 및 폴더" 항목 자체를 보이지 않도록 레지스트리 조작을 시도하는 부분을 확인하였습니다.

 

  폴더 옵션의 "숨김 파일, 폴더 및 드라이브 표시" 복원 방법 (2012.3.7)

 

참고로 많은 악성 파일들은 자신의 존재를 숨기기 위하여 폴더 옵션 중 "숨김 파일 및 폴더 표시 (Windows XP 기준)" 또는 "숨김 파일, 폴더 및 드라이브 표시 (Windows 7 기준)" 항목을 제거하는 문제에 대한 복원 방법을 소개한 적이 있습니다.

하지만 이번에는 "숨김 파일 및 폴더" 값 자체를 폴더 옵션에서 보이지 않도록 레지스트리 값을 조작하는 방식으로 유포되는 부분이 발견되었기에 간단하게 복원할 수 있는 방법을 살펴보도록 하겠습니다.

 

테스트에 사용된 악성 파일은 현재 특정 광고 서버를 통해 유포가 이루어지고 있으며, 해당 파일(MD5 : bf7eee295b4dfe1438cf4a0f7ad978d5)에 대하여 Microsoft 보안 제품에서는 Worm:Win32/Chiviper.C (VirusTotal : 16/44) 진단명으로 진단되고 있습니다.

 

우선 해당 파일의 기능은 레지스트리 조작을 통한 폴더 옵션 값 변경, "C:\WINDOWS\usp10.dll" 악성 파일 생성을 통한 추가적인 다운로드를 통해 최종적으로 ws2help.dll 시스템 파일 패치(Patched)을 하는 방식으로 제작되어 있습니다.(※ 해당 글에서는 폴더 옵션 부분만을 살펴보도록 하겠습니다.)

정상적으로 감염이 이루어진 환경에서 폴더 옵션의 고급 설정 부분을 살펴보면 "숨김 파일 및 폴더" 값 자체가 사라진 것을 확인할 수 있습니다.

 

이를 통해 숨김(H) 속성값으로 등록된 정상적인 파일 및 악성 파일은 윈도우 탐색기를 통해 확인이 어렵게 됩니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden
 - Type = group
:: 감염 전
 - Type = (공란) :: 감염 후

"숨김 파일 및 폴더" 항목이 사라진 원인은 악성 파일 감염 과정에서 폴더 옵션 숨김값(Hidden)의 Type 하위값을 변경하였기 때문입니다.

그러므로 레지스트리 편집기(regedit)를 실행하여 폴더 옵션의 고급 설정값 중 "Hidden → Type" 값을 선택하여 더블 클릭을 통해 생성된 "문자열 편집" 창에서 "값 데이터" 영역에 "group"이라고 입력하시고 폴더 옵션을 재확인해 보시기 바랍니다.

 

그런데 감염된 PC 환경에서는 사용자가 악성 파일을 사전에 제대로 치료하지 않은 상태에서 레지스트리 편집기 파일(C:\Windows\regedit.exe)을 실행할 경우, "C:\WINDOWS\usp10.dll" 악성 파일을 로딩하여 외부에서 악성 파일을 재다운로드하는 동작이 있을 수 있습니다.

참고로 해당 usp10.dll 파일(MD5 : a506235bc9d3e62716397d027c3568aa)에 대하여 avast! 보안 제품에서는 Win32:Bifrose-CBR [Trj] (VirusTotal : 11/44) 진단명으로 진단되고 있습니다.

 

그러므로 사전에 "C:\WINDOWS\usp10.dll" 파일을 찾아 삭제를 하시고 레지스트리 편집기(regedit)를 실행하시기 바랍니다.