긴급업데이트 안내 - 2000년 6월 22일자 엔진
안녕하십니까?
고객님의 안전한 컴퓨터
환경을 약속드리는 안철수연구소의
정보 지킴이입니다.
VBS/Stages
라는 웜이 국내에서도 발견되어
이에 대한 진단/치료 엔진을 긴급히
추가하였기에 긴급 업데이트 소식을
전해드립니다. 어제에 이은 두
번째 업데이트 소식이라 번거로우시겠지만,
신종바이러스로 인한 피해를 줄이고자
긴급히 업데이트 하였으니 고객님께서도
절대 놓치지 마시고 바로 업데이트해
주시기 바랍니다.
안철수연구소
고객지원센터는 항상 여러분의
든든한 정보지킴이가 되어드릴
것을 약속드리며 다음주에 다시
찾아뵙겠습니다.
감사합니다.
1.
VBS/Stages 정보
VBS/Stages 웜은 일반적인
VBS 웜과는 달리 확장자 *.SHS를
가지고 있으며 메일에 LIFE_STAGES.TXT.
SHS 파일이 첨부되어 전파됩니다.
mIRC, Pirch 와 같은 IRC 채팅
프로그램을 사용할 때나 네트웍
드라이브를 통하여 전파되므로
네트웍으로 연결된 기업 사용자분들은
각별한 주의가 요구됩니다.
특이한 점은 확장자 SHS가 윈도우
탐색기 옵션에 "모든파일표시"를
선택하여도 보이지 않아 사용자들은
단순한 TXT 형식의 텍스트 문서인
것으로 생각해 실행할 위험이
있습니다.
따라서 최신엔진으로 업데이트한
V3를 이용하여 검사해 보시거나
같은 이름의 파일은 절대 실행하지
마시고 삭제를 하시기 바랍니다.
1-1.
발견
VBS/Stages는
I-Worm.Scrapworm, IRC/Stages.worm
등으로 불리는 외국산 웜으로
2000년 5월 30일 처음 발견되었으며,
6월 중순부터 퍼지기 시작하여
국내에도 2000년 6월 20일 발견되었다.
1-2.
첨부파일 증상
LIFE_STAGES.TXT.SHS라는
파일이 첨부되어 메일로 확산된다.
첨부 파일 LIFE_STAGES.TXT.SHS는
39936바이트의 Shell Scrap Object
파일로, 이를 열면 텍스트가 보이고
웜이 설치되어 아웃룩 주소록에
있는 주소로 웜을 발송한다.
1-3.
정보
러브레터
바이러스와 감염 방법은 같지만
파일 형태가 vbs가 아닌 shs인데다가,
MS 익스프로러나 윈도우
애플리케이션에서는 SHS가 안
보여 일반 TXT 파일로 보이기
때문에 일반 사용자가 웜이라고
판단하기는 어렵다.
실행시켰을 때 남녀의 인생 단계를
재미있게 표현한 텍스트 창이
뜨기 때문에 그냥 읽고 지나치기
쉽다.
따라서 V3 같은 백신으로
진단해야 감염 여부를 알 수 있다.
컴퓨터에 심각한 피해를
주는 증상은 없지만 사내 컴퓨터가
웜에 많이 감염될 때 메일 서버에
과부하를 주어 업무에 지장을
줄 수 있다.
메일을
발송할 때, 메일의 제목을 무작위로
바꾸는데, 지금까지 알려진 제목과
내용은 다음과 같다.
- 제목 : "Fw: Life
Stages" , "Fw: Funny",
"Fw: Jokes", "Fw:
Life Stages text",
"Fw:
Funny text", "Fw:
Jokes text", "Life
Stages", "Funny",
"Jokes",
"Life
Stages text", "Funny
text", "Jokes text"
- 내용 : "The male
and female stages of life."
첨부 파일을 실행했을
때 출력되는 텍스트는 다음과
같다.
- The male stages
of life:
Age. Seduction
lines.
17 My parents are
away for the weekend.
25
My girlfriend is away for the
weekend.
35 My fiancee is
away for the weekend.
48
My wife is away for the weekend.
66 My second wife is dead.
Age. Favorite sport.
17 Sex.
25 Sex.
35 Sex.
48 Sex.
66 Napping.
Age. Definiton of a successful
date.
17 Tongue.
25
Breakfast.
35 She didn't
set back my therapy.
48
I didn't have to meet her kids.
66 Got home alive.
- The female stages of life:
Age. Favourite fantasy.
17 Tall, dark and hansome.
25 Tall, dark and hansome with
money.
35 Tall, dark and
hansome with money and a brain.
48 A man with hair.
66 A
man.
Age. Ideal date.
17 He offers to pay.
25
He pays.
35 He cooks breakfast
next morning.
48 He cooks
breakfast next morning for the
kids.
66 He can chew his
breakfast.
MS 아웃룩을
통해 전파되기도 하지만 mIRC,
네트워크 드라이브 등을 통해서도
전파된다.
mIRC나 PIRCH(인터넷
채팅 프로그램)이 설치된 폴더에
스크립트 파일을 만들고 이후
mIRC나 PIRCH로 IRC(Internet
Relay Chat. 인터넷을 통해 구축된
대화방)채팅을 할 때 같은 방에
있는 다른 사람들에게 감염된
파일을 자동으로 전송한다. 로컬이나
네트워크로 연결된 드라이브에
자신을 직접 복사하기도 한다.
이 웜은 윈도우 시스템
폴더에 (보통 C:\WINDOWS\SYSTEM)
SCANREG.VBS파일을, RECYCLED
폴더에 DBINDEX.VBS 파일을 생성한다.
레지스트리 값을 변경해
SCANREG.VBS 파일이 윈도우 부팅
때마다 자동 실행되도록 한다.
특징적인 증상은 REGEDIT.EXE
파일을 휴지통 폴더로 옮기고
이름을 RECYCLED.VXD로 바꾸는
것이다. 따라서 레지스트리 에디터
등의 사용에 문제가 발생할 수
있다.
2.
치료 방법
검사옵션을
'모든파일'로 설정한 후 V3 6월
22일자(6월 21일부터 제공)로
진단, 치료할 수 있으며 38912바이트
크기의 변형도 진단, 치료할 수
있다.
VBS/Stages 웜은
다른 파일에는 감염되지 않으므로
손쉽게 V3로 검사하여 진단된
파일을 삭제하면 되며 해당 파일
자체가 악성 프로그램이므로 치료하지
않고 삭제하는 것이다.
V3로 검사하여 발견된 웜을 모두
삭제를 하였다면 웜이 변경해
놓은 REGEDIT.EXE 파일을 원래대로
되돌려 주는 작업을 해야 합니다.
<다음의
방법으로 조치한다.>
2-1. [탐색기] - [보기] - [폴더옵션]
- [보기] - [숨김파일] - "모든
파일 표시"를 설정 해놓고
탐색기
를
실행하여 휴지통 폴더로 이동한다.
2-2. 휴지통
폴더에 있는 RECYCLED.VXD 파일이
있는지 확인해서 파일명을 REGEDIT.EXE로
변경하고
해당
파일을 윈도우 폴더로 이동 시킨다.
또한 VBS/Stages 웜은 C:\WINDOWS\SYSTEM\SCANREG.VBS을 생성해 놓고 레지스트의 값을 변경하여 다음번 부팅때 자동으로 웜이 실행되도록 하는데 변경되는 레지스트리 값은 다음과 같다.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
ScanReg = "C:\WINDOWS\WSCRIPT.EXE
C:\WINDOWS\SYSTEM\SCANREG.VBS"
REGEDIT를 원래의 파일로 변경했다면
2-3. 윈도우의 [시작] - [실행] 입력창에 REGEDIT를 입력해 실행한다.
2-4. 레지스트리 편집기가 실행되면 위에 있는 경로명으로 이동해 해당 레지스트리 값을 삭제해 주면 된다.
*
세상【�가장 안전한 이름 V3
*
-
E - Mail : customer@ahnlab.co.kr
- 하 이 텔 : AHNLAB1
- 천 리 안 : ZPIAHN1
- 유 니 텔 : S2AHN
- 나우누리 : AHN1
- URL : https://www.ahnlab.com
- PC 통신(하이텔,
천리안, 나우누리, 유니텔) 안철수연구소
포럼(GO AHN)
-
PC 통신 고객전용 포럼
(하이텔:go
ahnv3, 천리안:go v3, 나우누리:go
ahn 41, 유니텔:go ahndw)
- 고객지원센터 :
(02)558-7400
-
바이러스신고센터 : (02)558-7566
- 팩스: (02)558-7567
- 135-745, 서울특별시
강남구 삼성2동 144-17 삼화빌딩
10층