백오리피스 SubSeven 대응 방법
사용자의 정보를 유출시키는 백도어 트로이목마 SubSeven(서브세븐) 관련 문의가 증가하고 있습니다.
최근에 나온 SubSeven.462079와 SubSeven.677283의 경우 일반적인 트로이목마처럼 삭제하게 되면 윈도우용 파일이 실행되지 않는 문제가 발생하므로 V3로 진단·삭제한 후 안철수연구소에서 별도로 제공하는 KILLSUB7.EXE 파일을 이용해 레지스트리를 변경해야 합니다. 아래 내용을 참조하시기 바랍니다.
1. Win-Trojan/SubSeven.462079의 증상 및 개요
한국산 트로이목마 프로그램으로 백오리피스와 같은 백도어 기능을 가지고 있다. 즉, PC를 원격으로 조정하기 때문에 이 바이러스에 감염될 경우 사용자 정보가 누출되거나, 데이터가 삭제될 수 있다.
1999년 12월 뉴스그룹에서 처음 발견되었으며 당시 백업 CD 리스트인 것처럼 위장해 LIST.EXE라는 이름으로 올려져 있었다. 백도어 프로그램 SubSeven v2.1을 실행압축 프로그램을 사용해 압축한 것으로 파일 길이는 462,079바이트이다.
LIST.EXE를 실행하면 여러 유틸리티를 담고 있는 백업 CD 목록이 뜨는 동시에 사용자의 컴퓨터에 SubSevern 백도어 프로그램이 설치되어 Windows 폴더에(보통 C:\WINDOWS) WINDOS.EXE(11,371바이트)와 MSREXE.EXE(380,835바이트)가 생성된다.
2. Win-Trojan/SubSeven.677283의 증상 및 개요
외국산 트로이목마로, 증상은 위의 462079와 같다. 국내에서는 2000년 1월 초 발견되었으며 액션 게임인 "Unreal Tournament" 크랙 파일에서 발견되었다. 크랙 파일을 실행할 경우 윈도우 폴더에(일반적으로 C:\WINDOWS) EOS386.DL(677,283바이트) 파일과 WINDOS.EXE(11,370바이트) 파일이 생성된다.
3. 퇴치 방법
V3 제품군 최신 버전(1월 12일자)으로 진단·삭제한 후 안철수연구소에서 별도로 제공하는 KILLSUB7.EXE 파일을 이용해 레지스트리를 변경해야 한다. 이유는 Win-Trojan/SubSeven.462079와 Win-Trojan/SubSeven.677283의 경우 WINDOS.EXE 파일만 삭제하면 EXE 파일을 실행할 수 없어 윈도우 상에서 어떤 프로그램도 실행되지 않기 때문이다.
KILLSUB7.EXE 파일은 안철수연구소 웹사이트(www.ahnlab.com)나 PC통신망의 안철수연구소 포럼(천리안, 하이텔, 나우누리, 유니텔 모두 GO AHN)에서 내려받으면 된다. 사용방법은 아래와 같다.
KILLSUB7.EXE 파일은 Win-Trojan/Subserven.462079에 감염된 후 레지스트리를 정해주는 파일로 이 파일을 사용하기에 앞서 반드시 c:\windows 폴더에 있는 user.dat 파일과 system.dat 파일을 백업해 놓아야 한다.
아래와 같이 레지스트리 파일 백업을 하면 되는데 백업할 폴더는 임의로 지정해 주어도 된다.
C:\WINDOWS\ ATTRIB -R -H USER.DAT
C:\WINDOWS\ ATTRIB -R -H SYSTEM.DAT
C:\WINDOWS\ COPY USER.DAT C:\WINDOWS\COMMAND
C:\WINDOWS\ COPY SYSTEM.DAT C:\WINDOWS\COMMAND
C:\WINDOWS\ ATTRIB +R +H USER.DAT
C:\WINDOWS\ ATTRIB +R +H SYSTEM.DAT
백업을 끝냈다면 윈도우 시작->프로그램-> 한글 MS-DOS 선택하여 윈도우 도스창을 나간 후 KILLSUB7.EXE를 실행하면 2개의 파일이 압축이 풀리게 된다. 이후 KILLSUB7.BAT을 입력한 후 엔터를 치면 실행하면 자동으로 레지스트리가 편집되며, 편집이 끝난다. 재부팅 메시지가 나올 경우 시스템을 재부팅하면 작업이 완료된다.
만약 백도어를 치료하고 나서 그냥 도스창에서 KILLSUB7.EXE를 실행할 경우 제대로 실행되지 않는 경우가 있다. 가급적 도스 모드로 나가서 KILLSUB7.EXE를 실행해서 배치 파일을 만들고 재부팅한 후 도스창에서 KILLSUB7.BAT를 실행해야 한다.
최근에 나온 SubSeven.462079와 SubSeven.677283의 경우 일반적인 트로이목마처럼 삭제하게 되면 윈도우용 파일이 실행되지 않는 문제가 발생하므로 V3로 진단·삭제한 후 안철수연구소에서 별도로 제공하는 KILLSUB7.EXE 파일을 이용해 레지스트리를 변경해야 합니다. 아래 내용을 참조하시기 바랍니다.
1. Win-Trojan/SubSeven.462079의 증상 및 개요
한국산 트로이목마 프로그램으로 백오리피스와 같은 백도어 기능을 가지고 있다. 즉, PC를 원격으로 조정하기 때문에 이 바이러스에 감염될 경우 사용자 정보가 누출되거나, 데이터가 삭제될 수 있다.
1999년 12월 뉴스그룹에서 처음 발견되었으며 당시 백업 CD 리스트인 것처럼 위장해 LIST.EXE라는 이름으로 올려져 있었다. 백도어 프로그램 SubSeven v2.1을 실행압축 프로그램을 사용해 압축한 것으로 파일 길이는 462,079바이트이다.
LIST.EXE를 실행하면 여러 유틸리티를 담고 있는 백업 CD 목록이 뜨는 동시에 사용자의 컴퓨터에 SubSevern 백도어 프로그램이 설치되어 Windows 폴더에(보통 C:\WINDOWS) WINDOS.EXE(11,371바이트)와 MSREXE.EXE(380,835바이트)가 생성된다.
2. Win-Trojan/SubSeven.677283의 증상 및 개요
외국산 트로이목마로, 증상은 위의 462079와 같다. 국내에서는 2000년 1월 초 발견되었으며 액션 게임인 "Unreal Tournament" 크랙 파일에서 발견되었다. 크랙 파일을 실행할 경우 윈도우 폴더에(일반적으로 C:\WINDOWS) EOS386.DL(677,283바이트) 파일과 WINDOS.EXE(11,370바이트) 파일이 생성된다.
3. 퇴치 방법
V3 제품군 최신 버전(1월 12일자)으로 진단·삭제한 후 안철수연구소에서 별도로 제공하는 KILLSUB7.EXE 파일을 이용해 레지스트리를 변경해야 한다. 이유는 Win-Trojan/SubSeven.462079와 Win-Trojan/SubSeven.677283의 경우 WINDOS.EXE 파일만 삭제하면 EXE 파일을 실행할 수 없어 윈도우 상에서 어떤 프로그램도 실행되지 않기 때문이다.
KILLSUB7.EXE 파일은 안철수연구소 웹사이트(www.ahnlab.com)나 PC통신망의 안철수연구소 포럼(천리안, 하이텔, 나우누리, 유니텔 모두 GO AHN)에서 내려받으면 된다. 사용방법은 아래와 같다.
KILLSUB7.EXE 파일은 Win-Trojan/Subserven.462079에 감염된 후 레지스트리를 정해주는 파일로 이 파일을 사용하기에 앞서 반드시 c:\windows 폴더에 있는 user.dat 파일과 system.dat 파일을 백업해 놓아야 한다.
아래와 같이 레지스트리 파일 백업을 하면 되는데 백업할 폴더는 임의로 지정해 주어도 된다.
C:\WINDOWS\ ATTRIB -R -H USER.DAT
C:\WINDOWS\ ATTRIB -R -H SYSTEM.DAT
C:\WINDOWS\ COPY USER.DAT C:\WINDOWS\COMMAND
C:\WINDOWS\ COPY SYSTEM.DAT C:\WINDOWS\COMMAND
C:\WINDOWS\ ATTRIB +R +H USER.DAT
C:\WINDOWS\ ATTRIB +R +H SYSTEM.DAT
백업을 끝냈다면 윈도우 시작->프로그램-> 한글 MS-DOS 선택하여 윈도우 도스창을 나간 후 KILLSUB7.EXE를 실행하면 2개의 파일이 압축이 풀리게 된다. 이후 KILLSUB7.BAT을 입력한 후 엔터를 치면 실행하면 자동으로 레지스트리가 편집되며, 편집이 끝난다. 재부팅 메시지가 나올 경우 시스템을 재부팅하면 작업이 완료된다.
만약 백도어를 치료하고 나서 그냥 도스창에서 KILLSUB7.EXE를 실행할 경우 제대로 실행되지 않는 경우가 있다. 가급적 도스 모드로 나가서 KILLSUB7.EXE를 실행해서 배치 파일을 만들고 재부팅한 후 도스창에서 KILLSUB7.BAT를 실행해야 한다.
레지스트리 자동복구 배치파일 다운로드 | ||
|
