고객지원2000-05-28조회수 6737

바이러스 경고(W97M/Resume,O97M/Cybernet)

안녕하십니까?
회원님의 안전한 컴퓨터 환경을 약속드리는 안철수연구소의 정보 지킴이입니다.

화창한 오월의 주말에 반갑지 않은 신종 바이러스가 출현하여 긴급하게 안내문을 보내드렸습니다. 현재까지 국내에서 피해사례가 접수된 바는 없으나 첨부된 파일을 실행할 경우 데이터 등이 삭제되는 등 심각한 피해가 우려되어 경고안내메일을 보내드렸습니다.
아래 정보를 참고하시고, 이메일에 첨부된 파일은 절대 실행하지 마시고 삭제하시기 바랍니다.

감사합니다.

1. 이 름 : W97M/Resume
2. 종 류 : 매크로로 작성된 웜
3. 제작지 : 외국
4. 최초 발견일 : 2000년 5월 26일(미국 시간)
5. 국내 발견 여부 : 미발견
6. 위험 등급 : 1등급
7. 진단, 치료 : X
8. 특정일 활동 : X

W97M/Resume는 매크로로 작성된 최초의 웜이다. W97M/Melissa.BG, Kill Resume 등으로 불린다.
이 웜은 MS 아웃룩을 이용해 자신을 전파할 뿐 다른 파일을 감염시키지는 않는다.

편지의 제목은 'Resume - Janet Simons'로, 시몬스라는 사람이 구직 이력서를 보내서 자신에게 연락을 취해줄 것을 당부한다는 내용과 함께 EXPLORER.DOC나 RESUME1.DOC, NORMAL.DOT 파일 등이 첨부되어 있다. 일반적으로 EXPLORER.DOC 파일인 경우가 대부분이다. 원문 내용은 아래와 같다.

To: Director of Sales/Marketing,

Attached is my resume with a list of references contained within.
Please feel free to call or email me if you have any further questions
regarding my experience.
I am looking forward to hearing from you.

Sincerely,
Janet Simons.

첨부된 문서를 열면 MS 아웃룩을 이용해 자신을 발송한다.
이후 C:\DATA 폴더에 NORMAL.DOT와 스타트업 폴더( C:\WINDOWS\Start Menu\Programs\StartUp )에 EXPLORER.DOC 파일을 생성해 다음번 부팅 시 자동 실행되도록 시도한다.
하지만, 한글 윈도우는 영문 윈도우와 스타트업 폴더가 다르기 때문에 (C:\WINDOWS\시작 메뉴\프로그램\시작 프로그램) 다음번 부팅 때 자동 실행되지 않는다.
또한 영문 윈도우를 사용하더라도 윈도우 폴더가 C:\Winodws가 아니면 다음 번 부팅 때 자동 실행되지 않는다.

특징적인 증상은 아래 C 드라이브 폴더의 파일과 A~Z 드라이브의 파일을 삭제하는 것이다.

C:\My Documents\*.*
C:\WINDOWS\*.*
C:\WINDOWS\SYSTEM\*.*
C:\WINNT\*.*
C:\WINNT\SYSTEM32\*.*

다음과 같은 문자열을 포함하고 있다.
'-----------------------------------------'

'     Better You Than Me Buddy...                                                    '
'     ... Hope You Like My vIrUs                                                        '
'                 :)                                                                                  '
'                 :(                                                                                  '
'---------------------------------------------------'

1. 이 름 : O97M/Cybernet
2. 종 류 : 매크로 바이러스
3. 제작지 : 인도네시아
4. 최초 발견 시기 : 2000년 5월
5. 국내발견여부 : 미발견
6. 위험등급 : 1등급
7. V3 진단, 치료 : X
8. 활동일 : 8월 17일, 12월 25일

O97M/Cybernet은 오피스 97과 2000의 워드와 엑셀 문서를 감염시키는 매크로 바이러스이다.
감염된 문서를 열면 바이러스 매크로가 실행되고 MS 아웃룩을 이용해 주소록에 있는 사람들에게 바이러스가 포함된 메일을 보낸다. 빌송되는 메일의 제목과 내용은 다음과 같다.

--------------------------------------------------------------
제목 : "You've GOT Mail!!!"
내용 : "Please, saved the document after you read and don't show to
anyone else. The document is also VIRUS FREE...so DISREGARD the virus
protection warning !!!".
--------------------------------------------------------------

XLSTART 폴더에 CYBERNET.XLS 파일을 생성한 후 이후 사용하는 워드나 엑셀 문서를 감염시킨다.
현재 작업중인 문서에 의미없는 내용을 삽입하고 AUTOEXEC.BAT에 C 드라이브를 포맷하는 명령을 삽입해 다음 번 부팅 때 아래 메시지를 출력하며 하드디스크를 포맷한다.
매년 8월 17일과 12월 25일에 고유 증상이 나타난다.

"Vine...Vide...Vice...Moslem Power Never End...
"I'm Really Sorry, This System Have Been Recycled By -= CyberNET =- Virus!!!
" Brought To You From INDONESIA... "