사용자 정보 유출시키는 인터넷 웜 PrettyPark 변종 국내 유입
-첨부 파일 Pretty Park.exe 실행 말아야
-V3 2월 25일자 긴급 엔진과 KILLPPRK.BAT 파일로 치료해야
-2월 15일 미국서 발견된 후 빠르게 확산
-국내에 2월 25일 오후 피해 발생
1) 이름: I-Worm/PrettyPark.60928
2) 다른이름: W95/Backdoor.PrettyPark, W32/Pretty.worm
3) 제작지: 외국(2000년 2월 15일 발견)
4) 국내발견: 2000년 2월 25일
5) 종류: 웜
6) 증상: 사용자 정보를 유출시킨다. 30분 간격으로 웜이 첨부된 메일을 발송한다.
7) 특성: 웜만 제거하면 다른 프로그램이 실행되지 않으므로 V3와 배치 파일(KILLPPRK.BAT)로 조치해야 한다.
I-Worm/PrettyPark.60928은 외국산 웜으로 2000년 2월 15일 발견되었고 국내에는 2월 25일 유입되었다. 원형 I-Worm/PrettyPark의 압축을 푼 형태로, 원형이 37376바이트인 데 비해 이 웜은 60928바이트이다. 나머지 증상은 원형과 동일하다.
<증상>
PrettyPark.60928은 사용자의 컴퓨터 이름부터 E-mail 주소, 사용자 비밀번호 등의 여러 정보를 IRC 서버로 보내 웜 제작자가 다양한 정보를 수집할 수 있게 한다. 웜 제작자는 웜을 백도어(백오리피스와 같은 해킹 툴)로도 활용할 수 있다.
웜 프로그램이 실행되면 시스템 폴더(보통 C:\WINDOWS\SYSTEM)에 FILES32.VXD 파일을 만들고 레지스트리를 변경한다. 레지스크리가 변경된 후에는 모든 EXE 파일이 실행될 때마다 FILES32.VXD 파일이 먼저 실행되어 웜이 활동을 한다.
즉, 30분 간격으로 웜이 첨부된 메일을 주소록을 통해 발송하고 사용자 정보를 유출시킨다. 첨부되는 파일 이름은 "Pretty Park.exe"로 "South Park"란 애니메이션에 나오는 인물이 아이콘으로 나온다. 이때 Pretty Park.exe 실행하면 바이러스에 감염되므로 절대 실행하지 말아야 한다.
<치료 방법>
이 웜 프로그램을 치료하려면 2000년 2월 25일자 V3 엔진과 안철수연구소에서 제작한 배치파일(KILLPPRK.BAT)을 동시에 실행시켜야 한다. 이 배치 파일을 도스 창이나 윈도우의 탐색기에서 실행하면 레지스트리가 자동으로 편집된다. 단, 웜을 이미 치료했을 경우에는 도스창에서만 실행 가능하다. 웜만 삭제하면 이후 EXE 파일을 실행할 수 없게 되므로 주의해야 한다.
V3로 치료하기 이전에 KILLPPRK.BAT를 실행하여 레지스트리가 편집된 사용자는 윈도우의 도스창에서는 파일이 삭제가 되지 않으므로 반드시 MS-DOS 모드로 시스템을 재부팅한 후에 V3.EXE를 실행하여 진단된 파일을 삭제해야 한다(윈도우 상태에서 삭제하고자 하는 파일이 실행 중이므로 반드시 도스 모드로 재부팅해야 한다.)
KILLPPRK.BAT 파일을 실행하기 전에 먼저 C:\WINDOWS 폴더에 있는 USER.DAT 파일과 SYSTEM.DAT 파일을 백업해 두는 것이 좋다. 파일을 실행한 후 윈도우에 이상이 있는 경우 백업해둔 파일을 다시 덮어 씌우고 수동으로 레지스트리 편집기를 이용해서 수정해야 한다.
KILLPPRK.BAT 파일은 감염되지 않은 상태에서는 절대 실행하지 말아야 한다. 이 파일을 실행하기 전 반드시 V3로 감염 여부를 검사한 후 감염되었다고 진단된 사용자들만 이 파일을 실행한다.
V3 2월 25일자 엔진과 KILLPPRK.BAT 파일(killpprk.zip 형태로 제공)은 25일 오후 6시 이후에 인터넷(www.ahnlab.com)과 PC 통신(천리안, 하이텔, 나우누리, 유니텔 GO AHN)에서 내려받을 수 있다.
<윈도우 NT 사용자의 수동 조치 방법>
1. COMMAND.COM을 실행한다. (실행 -> 시작) - 모든 EXE 파일에 영향을 미치기 때문에 확장자가 COM인 파일을 실행해야 한다. NT의 명령 프롬프트인 CMD.EXE 역시 확장자가 EXE이기 때문에 실행되지 않는다.
2. WINDOWS 폴더 (WINDOWS, WINNT 등)에서 REGEIDT.EXE의 확장자를
REGEDIT.COM으로 바꾼다 - 이때 Windows 2000에선 CD를 넣으라는 등의 메시지가 출력되지만 무시한다.
3. REGEDIT.COM을 실행한다.
4. FILES32.VXD를 찾는다. (편집 -> 찾기)
5. FILES32.VXD만 삭제한다. ( "%1" %*는 삭제하면 안된다.)
6. REGEDIT.COM을 REGEDIT.EXE로 바꾼다.
7. 재부팅한다.
-V3 2월 25일자 긴급 엔진과 KILLPPRK.BAT 파일로 치료해야
-2월 15일 미국서 발견된 후 빠르게 확산
-국내에 2월 25일 오후 피해 발생
1) 이름: I-Worm/PrettyPark.60928
2) 다른이름: W95/Backdoor.PrettyPark, W32/Pretty.worm
3) 제작지: 외국(2000년 2월 15일 발견)
4) 국내발견: 2000년 2월 25일
5) 종류: 웜
6) 증상: 사용자 정보를 유출시킨다. 30분 간격으로 웜이 첨부된 메일을 발송한다.
7) 특성: 웜만 제거하면 다른 프로그램이 실행되지 않으므로 V3와 배치 파일(KILLPPRK.BAT)로 조치해야 한다.
I-Worm/PrettyPark.60928은 외국산 웜으로 2000년 2월 15일 발견되었고 국내에는 2월 25일 유입되었다. 원형 I-Worm/PrettyPark의 압축을 푼 형태로, 원형이 37376바이트인 데 비해 이 웜은 60928바이트이다. 나머지 증상은 원형과 동일하다.
<증상>
PrettyPark.60928은 사용자의 컴퓨터 이름부터 E-mail 주소, 사용자 비밀번호 등의 여러 정보를 IRC 서버로 보내 웜 제작자가 다양한 정보를 수집할 수 있게 한다. 웜 제작자는 웜을 백도어(백오리피스와 같은 해킹 툴)로도 활용할 수 있다.
웜 프로그램이 실행되면 시스템 폴더(보통 C:\WINDOWS\SYSTEM)에 FILES32.VXD 파일을 만들고 레지스트리를 변경한다. 레지스크리가 변경된 후에는 모든 EXE 파일이 실행될 때마다 FILES32.VXD 파일이 먼저 실행되어 웜이 활동을 한다.
즉, 30분 간격으로 웜이 첨부된 메일을 주소록을 통해 발송하고 사용자 정보를 유출시킨다. 첨부되는 파일 이름은 "Pretty Park.exe"로 "South Park"란 애니메이션에 나오는 인물이 아이콘으로 나온다. 이때 Pretty Park.exe 실행하면 바이러스에 감염되므로 절대 실행하지 말아야 한다.
<치료 방법>
이 웜 프로그램을 치료하려면 2000년 2월 25일자 V3 엔진과 안철수연구소에서 제작한 배치파일(KILLPPRK.BAT)을 동시에 실행시켜야 한다. 이 배치 파일을 도스 창이나 윈도우의 탐색기에서 실행하면 레지스트리가 자동으로 편집된다. 단, 웜을 이미 치료했을 경우에는 도스창에서만 실행 가능하다. 웜만 삭제하면 이후 EXE 파일을 실행할 수 없게 되므로 주의해야 한다.
V3로 치료하기 이전에 KILLPPRK.BAT를 실행하여 레지스트리가 편집된 사용자는 윈도우의 도스창에서는 파일이 삭제가 되지 않으므로 반드시 MS-DOS 모드로 시스템을 재부팅한 후에 V3.EXE를 실행하여 진단된 파일을 삭제해야 한다(윈도우 상태에서 삭제하고자 하는 파일이 실행 중이므로 반드시 도스 모드로 재부팅해야 한다.)
KILLPPRK.BAT 파일을 실행하기 전에 먼저 C:\WINDOWS 폴더에 있는 USER.DAT 파일과 SYSTEM.DAT 파일을 백업해 두는 것이 좋다. 파일을 실행한 후 윈도우에 이상이 있는 경우 백업해둔 파일을 다시 덮어 씌우고 수동으로 레지스트리 편집기를 이용해서 수정해야 한다.
KILLPPRK.BAT 파일은 감염되지 않은 상태에서는 절대 실행하지 말아야 한다. 이 파일을 실행하기 전 반드시 V3로 감염 여부를 검사한 후 감염되었다고 진단된 사용자들만 이 파일을 실행한다.
V3 2월 25일자 엔진과 KILLPPRK.BAT 파일(killpprk.zip 형태로 제공)은 25일 오후 6시 이후에 인터넷(www.ahnlab.com)과 PC 통신(천리안, 하이텔, 나우누리, 유니텔 GO AHN)에서 내려받을 수 있다.
<윈도우 NT 사용자의 수동 조치 방법>
1. COMMAND.COM을 실행한다. (실행 -> 시작) - 모든 EXE 파일에 영향을 미치기 때문에 확장자가 COM인 파일을 실행해야 한다. NT의 명령 프롬프트인 CMD.EXE 역시 확장자가 EXE이기 때문에 실행되지 않는다.
2. WINDOWS 폴더 (WINDOWS, WINNT 등)에서 REGEIDT.EXE의 확장자를
REGEDIT.COM으로 바꾼다 - 이때 Windows 2000에선 CD를 넣으라는 등의 메시지가 출력되지만 무시한다.
3. REGEDIT.COM을 실행한다.
4. FILES32.VXD를 찾는다. (편집 -> 찾기)
5. FILES32.VXD만 삭제한다. ( "%1" %*는 삭제하면 안된다.)
6. REGEDIT.COM을 REGEDIT.EXE로 바꾼다.
7. 재부팅한다.