고객지원2000-06-01조회수 1185

안철수연구소의 바이러스예보 - 제 11 호

안녕하십니까?
회원님의 안전한 컴퓨터 환경을 약속드리는 안철수연구소의 정보 지킴이입니다.

PC 통신에서 확인되지 않은 사실을 유포하거나 저속한 표현을 쓰며 상대방의 명예를 훼손한 네티즌에 대해 최초로 손해배상 책임을 인정한 판결이 나왔습니다. 각종 사이버 범죄에 대응하여 네티즌들의 안녕과 사이버 세계의 질서를 위해 제도적인 대응이 하루 빨리 체계적으로 정립되어야 겠습니다.

이번 주에는 특정일 활동 바이러스 목록 및 2개의 특정일 활동 바이러스에 대한 소개, 2개의 신종 바이러스 정보, 매크로 바이러스에 대한 정보를 알려드리겠습니다.
특히 신종 바이러스 중 W97M/Resume에 대한 경고 메일은 이미 보내드렸고, 국내에서 피해사례가 접수되지는 않았지만 또 한번 주의를 당부하는 차원에서 정보를 드립니다.

이번 호에는 다음의 순서로 정보를 정리하였습니다.

1. 특정일 활동 바이러스 경고
        (1) 특정일 활동 바이러스 목록 (6월 4일 ~ 6월 10일)
        (2) Cri-Cri.Kr.4289 (6월 4일 활동)
        (3) Taiwan.677 (6월 8일 활동)

2. 신종 바이러스 정보
        (1) W97M/Resume
        (2) X97M/HJB

3. 매크로 바이러스가 치료되지 않습니까?

1. 특정일 활동 바이러스 경고

(1) 특정일 활동 바이러스 목록 (6월 4일 ~ 6월 10일)

6월 4일: Cri-Cri.Kr.4289, Sunday, Korean_Sunday, Oxana, Great_Dipper
      5일: Oxana, MacGyver, No_Import_Rice, Great_Dipper
      6일: VCL.554, Oxana, Great_Dipper
      7일: VCL.554, Oxana, Great_Dipper
      8일: Taiwan.677, VCL.554, Oxana, Great_Dipper
      9일: IVP.548, VCL.554, Jerusalem.Payday, Zerotime, Coffeeshop
             Oxana, Great_Dipper
    10일: Sonic, VCL.554, Oxana, Great_Dipper

(2) Cri-Cri.Kr.4289 (6월 4일 활동)

다형성 바이러스이며 COMMAND.COM 파일도 감염되므로 윈도우 95 시스템에서는 COMMAND.COM 파일이 파괴되어 부팅되지 않는다. 실행파일 이외에도 주부트섹터를 감염시키며, 감염된 후 부팅 시 기본 메모리를 9 킬로바이트를 줄여 해당 영역에 상주한다. 이름이 'TB, SC, F-, GU'로 시작되는 파일은 감염에서 제외된다. 또한, 파일 크기를 감염 전상태로 보여주는 은폐 기능을 사용하지만 실행파일 이름이 'AR, PK, LH, BA'로 시작하는 프로그램은 은폐 기능이 사용되지 않는다. 감염된 후 특징은 매년 6월 4일 바이러스에 감염된 파일이 실행되면 모니터 화면 중간에 연두색 글씨로 다음과 같은 메시지를 출력한 후 시스템이 정지한다.

"Yulgok Virus Made by Choi Moonsok!
Viructive in Kangreung!"

(3) Taiwan.677 (6월 8일 활동)

감염 파일이 실행되면 전체 디렉토리를 찾아다니며 4개의 COM 파일을 감염시키는데 우선 하드디스크가 있는지를 조사하여 하드 디스크가 없다면 현재 드라이브의 루트 디렉토리부터, 있다면 하드디스크의 루트 디렉토리부터 모든 서브 디렉토리를 뒤져 파일 크기가 678 바이트 이상인 COM 파일을 찾는다. 감염 파일의 작성초는 62초이며, 감염된 후 증상은 매월 8일이 되면 하드 디스크가 없는 컴퓨터에서는 사용 중인 드라이브를, 하드 디스크가 있다면 하드 디스크의 처음 320 섹터를 파괴한 후 다음과 같은 메시지를 출력한다.

"DOOM I,(c) NCU Taiwan."

2. 신종 바이러스 정보

(1) W97M/Resume

1) 이름: W97M/Resume
2) 종류: 웜
3) 위험도: 1등급(파괴)
4) 제작지: 외국
5) 국내발견일: 2000-05
6) 내 용:

매크로로 작성된 최초의 웜으로 W97M/Melissa.BG, Kill Resume 등으로 불리며 MS 아웃룩을 이용해 자신을 전파할 뿐 다른 파일을 감염시키지는 않는다. 편지의 제목은 'Resume - Janet Simons'로, 시몬스라는 사람이 구직 이력서를 보내서 자신에게 연락을 취해줄 것을 당부한다는 내용과 함께 EXPLORER.DOC나 RESUME1.DOC, NORMAL.DOT 파일 등이 첨부되어 있다.
첨부파일은 주로 EXPLORER.DOC 이지만 바뀔 수도 있다. 첨부된 문서를 열면 MS 아웃룩을 이용해 자신을 발송한다.
이후 C:\DATA 폴더에 NORMAL.DOT와 스타트업 폴더( C:\WINDOWS\Start Menu\Programs\StartUp )에 EXPLORER.DOC 파일을 생성해 다음 번 부팅 시 자동 실행되도록 시도한다. 하지만, 한글 윈도우는 영문 윈도우와 스타트업 폴더가 다르기 때문에 (C:\WINDOWS\시작 메뉴\프로그램\시작 프로그램) 다음 번 부팅 때 자동 실행되지 않는다. 또한 영문 윈도우를 사용하더라도 윈도우 폴더가 C:\Winodws가 아니면 다음 번 부팅 때 자동 실행되지 않는다.

특징은 아래 C 드라이브 폴더의 파일과 A~Z 드라이브의 파일을 삭제하는 것이다.

C:\My Documents\*.*
C:\WINDOWS\*.*
C:\WINDOWS\SYSTEM\*.*
C:\WINNT\*.*
C:\WINNT\SYSTEM32\*.*

다음과 같은 문자열을 포함하고 있다.

' Better You Than Me Buddy...
' ... Hope You Like My vIrUs '
' :) '
' :( '

(2) X97M/HJB

1) 이름: X97M/HJB
2) 종류: 매크로 바이러스
3) 위험도: 3등급(위해)
4) 제작지: 불분명
5) 국내발견일: 2000-05
6) 내 용:

엑셀 97/2000에서 감염되며 감염된 문서를 열면 바이러스를 포함한 매크로가 실행되며 XLSTART 폴더에 HJB.XLS 파일을 만들며, 이후 사용하는 엑셀 문서를 감염시킨다. 특징적인 증상은 매년 4월 24일 오후 2시 (2시 부터 2시 59분까지 )에 나타나며 아래와 같은 질문을 한다.

"1st Qusetion
Question : What is the Sword Which Karl Styner(=Gray Scavenger) used?
Answer : Barisada"

이때 '아니오'를 선택하면 다음과 같은 메시지를 출력하며 컴퓨터를 사용하도록 한다.

"Right Answer
Good! You're Authorized now!!"

만약 '예'를 선택하면 다음과 같은 메시지를 출력한 후 또 한번 질문한다.

"Wrong Answer
"I will give you one more Chance. Be careful!!"

"Wrong Answer may cause The Serious Problem!
"Summoning Xavier is the Ultimate Magic. Right?"

이때 '예'를 선택하면 "Right Answer, ok , i will forgive you"가 출력되지만 '아니오'를 선택하면 다음과 같은 메시지가 출력되며 현재 작업 중인 모든 시트의 내용을 지워버린다.

"You shall Die
Wrong Answer, Your file will be deleted!"

3. 매크로 바이러스가 치료되지 않습니까?

V3 제품군으로 매크로 바이러스를 검사/치료할 때 분명히 치료가능한 파일임에도 치료불가로 나온다면 암호가 설정되어 있는지, 아니면 읽기전용 파일인지 혹은 문서가 오픈되어 있는 것은 아닌지, 시트보호설정이 되어 있는지 확인해 보아야 한다. 치료하고자 하는 엑셀파일에 암호가 설정돼 있거나 읽기전용인 파일, 또는 문서가 오픈되어 있거나 시트보호설정이 되어 있을 경우에는 치료를 할수 없으므로 '치료불가'라는 메시지가 출력된다.

다음과 같은 과정을 거쳐 암호/읽기전용을 해제한 후에V3 제품군으로 검사하면 치료할 수 있다.

(1) V3 제품의 '시스템 감시'를 일시중지시킨다.

(2) 엑셀로 치료가 안된 파일을 읽어와 엑셀 파일 메뉴에서 '다른 이름으로 저장'을 선택해 '옵션' 버튼을 눌러 설정된 암호와 읽기전용를 해제해 저장한다. (시트보호설정이 되어있다면 역시 해제한다)

(3) V3 제품군으로 다시 검사하면 치료할 수 있다.

암호나 읽기전용 상태 외에도 치료가 안되는 경우로는 네트워크에서 쓰기 권한이 없거나 플로피의 디스켓 공간이 부족하여 감염 파일을 치료할 수 없는 경우이다.

이런 감염 파일은 하드디스크로 복사한 후 검사/치료하면 된다.

* 세상에서 가장 안전한 이름 V3 *

- 하 이 텔 : AHNLAB1
- 천 리 안 : ZPIAHN1
- 유 니 텔 : S2AHN
- 나우누리 : AHN1
- E - Mail : customer@ahnlab.co.kr
- URL : https://www.ahnlab.com
- PC 통신(하이텔, 천리안, 나우누리, 유니텔) 안철수연구소 포럼(GO AHN)
- PC 통신 고객전용 포럼
(하이텔:go ahnv3, 천리안:go v3, 나우누리:go ahn 41, 유니텔:go ahndw)
- 고객지원센터 : (02)558-7400
- 바이러스신고센터 : (02)558-7566
- 팩스: (02)558-7567
- 135-745, 서울특별시 강남구 삼성2동 144-17 삼화빌딩 10층