Zone Identifier ADS's

악성코드의 많은 부분은 인터넷을 통해 다운로드 받아진 파일이 실행되면서 감염되게 됩니다. 어떤 악성코드는 사용자를 속여 프로그램의 아이콘을 윈도우 기본 폴더 모양으로 만들어 놓고 사용자가 실수로 클릭하여 프로그램이 실행되게 하는 등 이른바 사외 공학적 기법을 이용하기도 합니다. 이러한 사용자의 실수 혹은 부주위를 줄여보고자, IE 에 보안 기능 중 IE 를 통해 다운로드 받은 파일을 실행하려고 할 때 "보안경고" 다이얼로그가 아래 그림과 같이 출력되게 됩니다.

참고로 요즘 사용하고 있는 MacBook Pro 노드북에 설치된 레오파드(leopard) 운영체재에서도 인터넷에서 다운로드 받은 파일은 사용자의 확인을 한번 더 거쳐 실행되도록 되어 있습니다. 이는 해당 파일의 ADS(Alternate Data Stream) 에 Zone.Identifier 라는 것을 기록하여 어느 영역(1)에서 다운로드 받아진 파일인지 정의해 놓은 것에 따라 "보안경고"가 출력되는 것 입니다.

[ZoneTransfer]
ZoneId=3

위와 같이 Zone.Identifier 값이 3 이라는 것은 URLZONE_INTERNET 즉,  해당 파일은 "인터넷" 으로 부터 다운로드 받아진 파일임을 알 수 있습니다.

이 때 "이 파일을 열기 전에 항상 확인" 옵션 체크를 해지하면 Zone.Identifier 는 삭제 되어 실행할 때 "보안경고" 다이얼로그가 출력되지 않습니다.

혹, 악성코드가 자신의 실행을 사용자에게 숨기기 위해 자신의 Zone.Identifier 를 제거하지는 않을까요?

*** 각주
(1) 인터넷, 로컬 인트라넷, 신뢰할 수 있는 사이트, 제한된 사이트