본문 바로가기
AhnLab 보안in

바이러스 검사 후 USB파일이 전부 사라졌습니다!!

by 보안세상 2020. 4. 12.

2011.06.16

 

 안녕하세요?  저는 오늘부터 여름방학이 시작된 대학생입니다.
얼마 전 USB를 통해서도 악성코드가 옮을 수 있다는 글을 읽고, USB도 항상 바이러스 검사를 하고 있습니다.

그런데 얼마 전 제가 바이러스 검사를 끝내고 안전하게 하드웨어를 제거한 후 USB를 뺐거든요? 파일 하나 안 옮긴게 있어서 다시 USB를 꽂고 확인해보니 파일이 하나도 없는거예요. 더 무서운건 파일이 하나도 없음에도 불구하고 용량은 252MB가 사용 중이라고 나오는 겁니다. 이거 어떻게 된거죠? 전 삭제한 적이 없거든요…이 파일들 다시 복구시킬 수는 없나요?


Ahn:
 

USB에 있는 바이러스를 치료한 후 파일이 보이지 않는 것은 실제 파일이 삭제된 것이 아니라 바이러스에 의해 폴더/파일 속성이 숨김 파일형태로 변경되어 나타난 증상입니다. 이는 Autorun 바이러스의 증상 중 하나로 Autorun 바이러스란 MP3플레이어나 USB메모리같이 이동형 저장 장치에 복사되어 옮겨다니며 전파되는 것을 말합니다.


왜 USB 메모리 안의 정상파일이 삭제된 것처럼 보이는 걸까요?
이는 백신이 바이러스를 치료하면서 정상파일을 삭제한 것이 아니라 정상적인 폴더를 가장한 악성코드를 삭제한 것입니다. 정상폴더와 파일들은 악성코드가 속성을 숨김 속성으로 변경해 놓아 탐색기상에서 겉으로 보이지 않는 것입니다. 치료 후 USB 폴더를 보면 아래와 같이 빈 폴더로 나오지만 등록정보를 확인해 보면 252MB가 사용중임을 알 수 있습니다.

 

 

 
[그림 1] 정상폴더와 파일들이 숨겨진 상태

 


그렇다면 백신은 왜 치료하면서 이 숨김 속성을 원래대로 변경하지 않은걸까요?
그 이유는 특정 사용자의 경우 특정 폴더나 파일들을 숨김 속성으로 변경하여 사용하는 경우도 있고, 운영체제상에서 사용자가 실수로 운영체제의 중요파일을 삭제하는 것을 방지하기 위해 숨김 속성으로 사용하는 경우가 있기 때문입니다.

 

 

이제 USB에 있는 파일 속성 변경방법을 알아보도록 하죠.
 

[숨김속성 해제 방법]


1)     [시작] - [실행]창에서 ‘cmd’를 입력하여 도스 명령창을 띄웁니다.


2)     아래 명령어를 이용하여 정상적인 파일들이 삭제된 경로로 이동합니다.
- USB메모리나 E:\ 파티션에 감염되었을 경우 : ex)  E:  (엔터키)
- C:\windows 폴더에 감염되었을 경우        : ex)  cd c:\windows  (엔터키)


3)     아래와 같이 명령어를 입력한 후 엔터를 누릅니다.

 

 

위의 명령어를 통해 폴더의 숨김 속성을 해제하면 정상적인 폴더가 나타납니다.

 

[그림 2] 숨겨졌던 정상 폴더가 나타난 모습



잘 해결 되셨나요? 더욱 자세한 사항은 ASEC 대응팀 블로그에서 알 수 있습니다. Ahn