안철수연구소의 바이러스예보 - 제 12 호
안녕하십니까?
회원님의 안전한 컴퓨터 환경을 약속드리는 안철수연구소의 정보 지킴이입니다.
안전한 인터넷 뱅킹과
트레이딩을 위해 은행권을 중심으로
수요가 일어났었던 PKI 시스템이
최근 공공기관과 일반 기업에까지
빠르게 확산되고 있습니다.
거래정보의 보안 유지 등의 문제를
해결하고, 무단 해킹에 따른 피해를
막을 수 있는 이러한 차세대 보안기술이
각광을 받는 것은 안전한
e비즈니스를 위해서입니다.
이러한 유비무환의 정신은 바이러스
예방에 있어서도 가장 중요한
부분입니다. 나날이 다양해져가는
바이러스로부터 안전하기 위해서는
최신 엔진으로 업데이트하여 검사하는
것, 꼭 기억하세요.
이번 주에는 특정일 활동 바이러스 목록 및 3개의 특정일 활동 바이러스에 대한 소개, 2개의 신종 바이러스 정보, 바이러스 동향에 대한 정보를 알려드리겠습니다.
이번 호에는 다음의 순서로 정보를 정리하였습니다.
1. 특정일
활동 바이러스 경고
(1) 특정일
활동 바이러스 목록 (6월 11일
~ 6월 17일)
(2)
IVP.944 (6월 13일 활동)
(3)
Jerusalem.EOS (6월 14일 활동)
(4)
Clipper (6월 16일 활동)
2.
신종 바이러스 정보
(1) O97M/Cybernet
(2)
W97M/Pathetic
3.
바이러스 동향
(1) 올들어
신종 컴퓨터 바이러스 급증
(2)
2000년 바이러스 동향
(3)
휴대폰 감염 바이러스 VBS/Timeofonica에
대해
1. 특정일 활동 바이러스 경고
(1) 특정일 활동 바이러스 목록 (6월 11일 ~ 6월 17일)
6월 11일 : Fish_Boot,
VCL.554, Sunday, Korean_Sunday,
Oxana, Great_Dipper
12일
: June_12th, VCL.554, XTAC,
Oxana, No_Import_Rice, Great_Dipper
13일
: IVP.928, IVP.944, VCL.554,
XTAC, Oxana, Great_Dipper
14일
: Jerusalem.EOS, VCL.554, XTAC,
Oxana, Great_Dipper
15일
: VCL.554, XTAC, Oxana, MacGyver,
Great_Dipper
16일
: Clipper, VCL.554, XTAC, Jerusalem.Payday,
Zerotime, Coffeeshop,
Oxana,
Great_Dipper
17일
: Sonic, Beethoven, VCL.554,
XTAC, Bbodong, Oxana, Great_Dipper
(2) IVP.944 (6월 13일 활동)
실행파일을 감염시키는
것이 아니라 확장자 ZIP이나 RAR인
파일에 바이러스의 일부분을 삽입시켜
실행 가능하도록 하며, 압축파일을
파괴시키는 특징을 가지고 있다.
또한, 1993년 이후 매월 13일
13시에 감염 파일이 실행되면
파일을 감염시킨다. 이 때 메시지가
출력되며 시스템에서 소리가 2번
발생한다. 감염 파일이 실행되면
한번에 3개까지 감염되며, COM
파일인 경우 파일 이름의 6, 7번째가
'ND'이면 감염되지 않는다.
감염된 파일의 크기는 944 바이트
늘어나지만 파일의 날짜와 시간은
변하지 않는다. 감염 파일 내부의
암호를 풀어보면 다음과 같은
문자열이 포함되어 있다.
"KillZIP Virus Version 1.0 Beta Test Release"
(3) Jerusalem.EOS (6월 14일 활동)
한국산 변형 바이러스로 원형과 달리 중복 감염되지 않으며, 감염된 EXE 파일 크기는 16의 배수가 된 후 1813 byte 늘어난다. 단, V3.COM 파일은 감염에서 제외된다. COMMAND.COM 파일이 감염되면 부팅되지 않는다. 감염 후 특징은 매월 14일 사용중인 디스크를 포맷하고 시스템을 재부팅시킨다. 하지만 하드 디스크를 파괴하지는 못한다. 감염 파일 내부에는 다음과 같은 문자열이 포함되어 있다.
"The E.O.S Virus
-by SVS(Seoul Virus Society)
Cheer up! SVS-009 July
in 1993. Made in Korea Good
luck!
Don't run a Vaccine III!$"
Continuance"
(4) Clipper (6월 16일 활동)
예루살렘 바이러스의 변형으로 감염 파일이 실행되면 기본 메모리에 상주한 후 실행되는 COM, EXE 파일을 감염시킨다. 감염된 COM 파일 크기는 1413 byte, EXE 파일 크기는 16의 배수가 된 후 1413 byte 늘어나므로 1413~1427 byte 늘어난다. 파일 이름에 'S'나 'V'자가 포함된 파일은 감염되지 않으며, 매월 16일이 되면 현재 사용 중인 디스크의 부트 영역 데이터를 파괴하여 하드 디스크로 부팅되지 않지만 하드 디스크를 32 Mbyte 이상 분할하여 사용한 시스템은 피해가 발생하지 않는다.
2. 신종 바이러스 정보
(1) O97M/Cybernet
1) 이름: O97M/Cybernet
2) 종류: 매크로 바이러스
3) 위험도: 1등급
4) 제작지: 인도네시아
5) 최초 발견 시기: 2000년 5월
6) 국내발견여부: 미발견
7) 활동일: 8월 17일, 12월 25일
8) 내용:
O97M/Cybernet은 오피스
97과 2000의 워드와 엑셀 문서를
감염시키는 매크로 바이러스이다.
감염된 문서를 열면 바이러스
매크로가 실행되고 MS 아웃룩을
이용해 주소록에 있는 사람들에게
바이러스가 포함된 메일을 보낸다.
발송되는 메일의 제목과 내용은
다음과 같다.
제목 : "You've GOT Mail!!!"
내용 : "Please, saved the
document after you read and
don't show to
anyone else. The document is
also VIRUS FREE...so DISREGARD
the virus
protection warning !!!".
XLSTART 폴더에 CYBERNET.XLS 파일을 생성한 후 이후 사용하는 워드나 엑셀 문서를 감염시킨다. 현재 작업중인 문서에 의미없는 내용을 삽입하고 AUTOEXEC.BAT에 C 드라이브를 포맷하는 명령을 삽입해 다음 번 부팅 때 아래 메시지를 출력하며 하드디스크를 포맷한다. 매년 8월 17일과 12월 25일에 고유 증상이 나타난다.
"Vine...Vide...Vice...Moslem
Power Never End...
"I'm Really Sorry, This
System Have Been Recycled By
-= CyberNET =- Virus!!!
" Brought To You From INDONESIA...
"
(2) W97M/Pathetic
1) 이름: W97M/Pathetic
2) 종류: 매크로 바이러스
3) 위험도: 4등급(대비)
4) 제작지: 외국
5) 국내발견일: 2000-05
6) 특정일활동: 매년 5월
7) 내 용:
MS 워드 97, 2000에서 감염되며,
감염된 문서를 열면 매크로가
자동 실행되면서 C 드라이브 루트에
VB.TXT 파일을 생성한다. 이 파일은
바이러스 소스를 담고 있으며,
이후 사용하는 워드 문서를 감염시킨다.
C:\AUTOEXEC.BAT 파일의 마지막에
다음과 같은 내용을 추가한다.
@echo The beak of
the salmon ( 사용자 이름 )
@copy c:\windows\*.ini super.ini
/Y
따라서 재부팅 될 때마다
윈도우 폴더(C:\WINDOWS 폴더)의
INI 파일들이 SUPER.INI로 합쳐지는
증상을 보인다. 또한 위의 내용은
바이러스가 실행될 때마다 추가되므로
나중엔 부팅 속도가 느려지는
현상이 나타난다. 특징은 5월에
열리는 문서를 닫아 버리므로
5월에는 문서를 열어도 곧바로
내용을 볼 수 없다.
3.
바이러스 동향
(1) 올들어 신종 컴퓨터 바이러스 급증
올들어 국내에서 발견된
신종 컴퓨터 바이러스 숫자가
급증했다. 지난 4월 말까지 국내에서
발견된 신종 바이러스는 모두
227종으로 지난 해 같은 기간에
비해 86종이 늘어난 숫자로, 작년
대비 163% 증가했다.
이러한 바이러스 가운데 200종이
외국산으로 인터넷 사용자가 웹사이트의
공개 자료실에서 파일을 다운받거나
이메일을 통해 감염된 것으로
분석된다. 앞으로 인터넷
사용에 있어서 바이러스 감염에
특별한 주의가 요구된다.
몇 년간 연도별로 신종 바이러스 발견 건수는 다음과 같다.
95년 : 128종
96년 : 226종
97년 : 256종
98년 : 276종
99년 : 379종
2000년 4월 : 227종
이러한 추세로 간다면 올 연말까지는 600개 이상의 신종 바이러스가 등장할 것으로 예측된다.
(2) 2000년 바이러스 동향
2000년대의 바이러스
동향은
▶스크립트 웜 다수 등장 ▶리눅스
바이러스 증가 ▶해킹 툴 및 백도어
트로이목마 기승 ▶복합성 바이러스
증가 등으로 예측할 수 있다.
▶스크립트 웜 다수 등장
아직 치명적으로 파일을 손상시키는
바이러스는 제작되지 않았지만
앞으로 파괴력이 보강된 바이러스가
등장할 가능성이 크다. 또한 매크로
바이러스처럼 변종 제작과 자체
변형이 쉬워 양산될 가능성이
높다는 점에서 매크로 바이러스만큼
영향력이 커질 것으로 추측된다.
▶리눅스
바이러스 증가
리눅스 운영체계 사용자가 증가함에
따라 리눅스 바이러스가 서서히
등장하고 있다. 1998년 처음 발견된
이래 현재까지 세계적으로 5종
정도가 제작된 것으로 보고되었다.
국내에 유입된 것은 없다. 리눅스
운영체계는 코드가 오픈되어 있어
바이러스를 제작하기도 매우 쉽기
때문에 양산이 우려된다.
(3) 휴대폰 감염 바이러스 VBS/Timeofonica에 대해
오늘 보도된 휴대폰
감염 바이러스 VBS/Timeofonica는
VBS/Love_Letter와 같은 인터넷
웜으로, MS 아웃룩에 저장된 주소로
웜을 발송하고 휴대폰으로 문자
메시지를 발송하기도 한다.
correo.movistar.net을 통해 임의로
만들어진 숫자(예 : xxxxxxxxx@correo.movistar.net),
즉 휴대폰 번호로 메시지를 보내는
것이다. 이 번호의 전화를 소지한
사람은 아래와 같은 문자 메시지를
받게 된다.
제목 : TIMOFONICA
내용 : informa que: Telefуnica
te estб engaсando
바이러스나 웜과 같은
악성코드는 실제 코드가 복사되고
실행될 수 있는 환경에서만 작동하기
때문에 VBS/Timeofonica의 경우
휴대폰이 직접 감염되어 손상되는
일은 없다. 단지 웜이 많이
발송될 경우 통신업체 서버에
과부하가 걸려 다운될 가능성은
있다. 국내에서는 아직
이런 사례가 보고되지 않았고,
휴대폰 자체 감염은 아직까지는
루머이지만 앞으로 현실화할 가능성은
있다고 본다.
* 세상에서
가장 안전한 이름 V3 *
- 하 이 텔 : AHNLAB1
- 천 리 안 : ZPIAHN1
- 유 니 텔 : S2AHN
- 나우누리 : AHN1
- E - Mail : customer@ahnlab.co.kr
- URL : https://www.ahnlab.com
- PC 통신(하謙� 천리안,
나우누리, 유니텔) 안철수연구소
포럼(GO AHN)
- PC 통신 고객전용 포럼
(하이텔:go
ahnv3, 천리안:go v3, 나우누리:go
ahn 41, 유니텔:go ahndw)
- 고객지원센터 : (02)558-7400
- 바이러스신고센터 : (02)558-7566
- 팩스: (02)558-7567
- 135-745, 서울특별시
강남구 삼성2동 144-17 삼화빌딩
10층