autorun은 cd-rom에 cd를 넣거나 이동식 디스크를 usb 포트에 연결할 경우 자동으로 특정 프로그램을 실행할 수 있도록 윈도우에서 제공하는 기능이다. 그러나 이 자동실행 기능이 악성코드 감염에 악용되고 있다.
이동식 저장장치가 악성코드에 감염됐거나 악성코드 자동실행 파일이 복사된 경우
사용자가 모르게 자동실행을 통해 시스템이 악성코드에 감염될 수 있고 그로인해 추가적인 피해가 발생할 수 있다.
usb메모리를 컴퓨터에 연결했을 경우 내컴퓨터에서 클릭해서 들어갈 때 usb 루트폴더에 autorun.inf가 존재하면
그 파일이 먼저 실행되고 이를 이용해 악성코드가 전파된다.
autorun 악성코드는 다른것과 마찬가지로 이메일, p2p등 다양한 경로를 통해 감염된 후에 컴퓨터에 이동식 저장장치나 혹 다른 드라이브의 루트폴더에 autorun.inf파일과 악성코드를 복사함으로써 감염된다.
그런데 복사되는 파일은 숨김속성으로 되기 때문에 눈으로는 발견하기 쉽지 않다.
보통 이런 파일들은 숨김속성(H), 시스템파일(S), 읽기전용(R) 속성을 부여하기도 한다.
따라서 숨김 파일 및 폴더 표시 를 체크한다음 봐야하는데 이 또한 악성코드와 바이러스들로 설정이 불가능 할 때가 많다.(이럴 경우확인하는 방법은 앞글에)
이런 autorun 악성코드를 예방하기위해서는
이동장치를 연결할 때 자동실행 기능을 끈상태에서 연결해야 한다.
우선 연결시 Shift 키를 누른 상태에서 연결하면 자동실행을 방지할 수 있다
아니면 위도우 자체에서 자동실행 기능을 꺼주거나 자동실행 방지 프로그램 설치,
선택한 동작 항상 실행 옵션에 체크를 해제해야 한다.
또 연결시 백신으로 검사를 수행하고 폴더를 열 경우에는 마우스 오른쪽 버튼으로 탐색을 사용에 여는 것이 좋다.
자동실행을 중지하는 방법
1. 서비스 중단
내텀퓨터 오른쪽 버튼 - 관리 - 서비스 및 응용프로그램 - 서비스에서
Shell Hardware Detection 을 사용안함으로 설정해주면된다.
2. 레지스트리 수정
xp기준으로 HKEY_USERS\.DEFAULT\Software\Micㅇrsoft\Windows\CurrentVersion\Policies\Explorer
의 NoDriveTypeAutoRun(PC마다 다르므로 레지스트리 편집기 찾기를 사용하면 알 수 있다)
값을 FF로 바꿔주면 자동실행 기능이 중지된다.(참고로 91은 자동실행설정/기본값, 00은 자동실행설정)
이 밖에도 여러 방법이 있겠지만 한가지더 추가하면 숨김 파일 및 폴더 속성을 체크한 후 usb메모리에서 직접 autorun 파일을 지워줘도 된다.
컴퓨터에 자신이 없는 분들은 인터넷 검색창에 자동실행 방지프로그램을 찾아서 다운받아 설치하면 클릭만으로 기능을 중지 / 실행 시킬 수 있다.