[안철수연구소의 바이러스예보 - 제 10 호]
안녕하십니까?
회원님의 안전한 컴퓨터 환경을 약속드리는 안철수연구소의 정보 지킴이입니다.
남부지방을 중심으로 빠른 속도로 확산되고 있는 세균성 이질에 이어 장티푸스 등의 가을철 전염병이 벌써부터 기승을 부리고 있습니다. 개인 위생을 철저히 하고 음식과 물을 끓여 먹어야 감염을 막을 수 있으며, 전염병 감염 사실이 확인되면 즉시 보건소 등에 신고하고 치료를 받아야 합니다.
컴퓨터 바이러스도 최신 엔진으로 검사하여 예방하시고, 신종 바이러스 감염 시 저희 연구소로 문의하셔서 안전에 만전을 기하시기 바랍니다.
이번 주에는 특정일 활동 바이러스 목록 및 3개의 특정일 활동 바이러스에 대한 소개, 2개의 신종 바이러스 정보, 그리고 국내에서 감염 발생율이 높은 바이러스 Top 10을 소개합니다.
이번 호에는 다음의 순서로 정보를 정리하였습니다.
1. 특정일 활동 바이러스 경고
(1) 특정일 활동 바이러스 목록 (5월 28일 ~ 6월 3일)
(2) Mongolian (5월 30일 활동)
(3) Miny1.751 (5월 31일 활동)
(4) WM/MDMA (6월 1일 활동)
2. 신종 바이러스 정보
(1) W97M/Thus.Q
(2) VBS/Tune
3. 바이러스 Top 10
1. 특정일 활동 바이러스 경고
(1) 특정일 활동 바이러스 목록 (5월 28일 ~ 6월 3일)
5월 28일: VCL.554, XTAC, Sunday, Korean_Sunday
29일: VCL.554, XTAC, No_Import_Rice
30일: Mongolian, Bye, VCL.554, XTAC
31일: Bye, Miny1.751, Win95/Boza, FK.658, Fish_Boot, VCL.554, XTAC
6월 1일: Win95/LOVE, WM/MDMA, Juvenile_Delinquent, Timer, Sonic,
Fish_Boot, Oxana, Great_Dipper
2일: Keypress.1236, Flip.2153, Jerusalem.Payday, Zerotime, Coffeeshop,
Oxana, Great_Dipper
3일: Sonic, Oxana, Great_Dipper
(2) Mongolian (5월 30일 활동)
감염된 시스템의 기본 메모리 크기가 2 킬로바이트 줄어든다. 감염된 후 특징은 매년 5월 30일 감염된 시스템으로 부팅하면 하드 디스크를 파괴하고 다음과 같은 메시지를 출력한 후 시스템을 재부팅한다.
"Mongolian Virus VERSION 1.00
Mongolian Brain Co.Ltd 1992
Today is birthday of my babby !!!"
(3) Miny1.751 (5월 31일 활동)
바이러스 원형 파일을 IMF 바이러스 치료 프로그램이라는 제목의 파일(V3MEM.COM)로 속여 배포된 바이러스이다. 미니1.457 바이러스의 변형으로 문자열을 추가하고 암호화 루틴을 변형한 것으로, COM, EXE 파일 모두 감염시키며, 감염된 후 다음과 같은 문자열을 출력한다.
"Incorrect DOS version"
또한, 감염 파일 실행 날짜가 매월 31일인 경우에는 다음과 같은 메시지를 출력한다.
"SVS/COREA Mode by MOV(Master of Virus)
[IMF Virus] Ver.E (VCL.5249???->FK2.B)
(qnstjr gkffuaus Eht qkfhgo)<---Hangul"
(4) WM/MDMA (6월 1일 활동)
이 바이러스는 특이하게 운영체제에 따라 다양한 증상을 나타낸다.
매킨토시의 경우 파일을 삭제하며, 윈도우 3.1의 경우는 C:\SHMK라는 파일을 삭제하고, C:\AUTOEXEC.BAT 파일의 내용 위에 겹쳐 써 다음 부팅 시 하드 디스크의 모든 폴더가 삭제된다.
윈도우 95의 경우는 C:\SHMK라는 파일을 삭제하고, C:\WINDOWS의 모든 HLP 파일을 지우며, 윈도우 레지스트리(registry)의 내용을 변경시킨다.
윈도우 NT의 경우는 루트의 모든 파일을 삭제하고 C:\SHMK 파일도 지운다.
감염 파일 내부에는 'AutoClose'라는 매크로를 가지고 있으며, 감염된 후 매월 1일 파일 종료 시 다음과 같은 메시지가 출력된다.
"MDMA_DMV
You are infected with MDMA_DMV.
Brought to you by MDMA (Many Delinquent Modern Anarchists)."
2. 신종 바이러스 정보
(1) W97M/Thus.Q
1) 이름: W97M/Thus.Q
2) 종류: 매크로 바이러스
3) 위험도: 1등급(파괴)
4) 제작지: 외국
5) 국내발견일: 2000-05
6) 진단/치료 버젼: 2000-05
7) 특정일 활동: 매년 12월 13일
8) 내 용:
W97M/Thus.Q 바이러스는 외국산 매크로 바이러스로 2000년 3월 발견되었다.
국내에는 2000년 5월 8일 처음 보고되었으며, W97M/Thus 바이러스의 변형으로 W97M_THUS.Q, W97M.Thus.Variant 등으로 불리기도 한다.
감염된 문서를 열면 이후 사용되는 문서를 감염시킨다.
특징적인 증상은 매년 12월 13일 C 드라이브의 모든 파일 삭제를 시도한다.
(2) VBS/Tune
1) 이름: VBS/Tune
2) 종류: 웜
3) 위험도: 5등급(주의)
4) 제작지: 외국
5) 국내발견일: 2000-05
6) 진단/치료 버젼: 2000-05
7) 특정일 활동:
8) 내 용:
VBS.Tune, VBS_TUNE, VBS.Tune.B 등으로 불리기도 하며 감염된 VBS 파일이 실행되면 다음 파일이 생성된다.
"TUNE.VBS, KERNEL.VBS, WINSCK.VBS, EXPLORER.VBS"
생성되는 폴더는 윈도우 폴더(C:\WINDOWS), 윈도우 시스템 폴더(C:\WINDOWS\SYSTEM)이다.
레지스트리와 WIN.INI를 변경해 다음 번 부팅 시부터 자동 실행되도록 하며,
전체 드라이브를 뒤져 하드디스크와 네트워크 드라이브의 경우 TUNE.VBS 파일을 루트에 생성한다.
VBS/Love_Letter와 같이 E-mail로 자신을 보내는 기능도 있다.
MIRC와 PIRCH98을 사용할 경우 웜을 자동으로 퍼뜨릴 수 있는 스크립트를 해당 폴더에 생성한다.
따라서 사용자가 MIRC나 PIRCH98을 사용해 IRC를 이용할 경우 해당 채널의 다른 사람에게 웜을 퍼뜨린다. 다음과 같은 문자열을 포함하고 있다.
"Tune Virus By Slug"
3. 바이러스 Top 10
요즈음 연구소로 가장 많은 문의가 들어오는 바이러스 목록으로, 감염 피해 발생율이 높은 바이러스들이다. 아래와 같은 바이러스 유입 시 기본 정보를 알아두면 신속히 대처할 수 있을 것이다. 연구소 홈페이지(www.ahnlab.com)를 참고하면 자세한 정보를 볼 수 있다.
1. VBS/Love_Letter
2. Dropper/HotKeysHook
3. WIN95/CIH
4. Win95/Love
5. DVWSSR
6. Trojan/BAT2C.3023
7. VBS/Fool
8. Win-Trojan/SubSeven_v22
9. Trojan/Surprised_Batch.9247
10. W97M/Astia.C
신록의 푸르름이 가득한 6월을 맞이하는 한 주, 아쉬움 없는 꽉찬 하루 하루 되시길 바라며, 정보 지킴이는 다음 주에 또 찾아뵙겠습니다.