안철수연구소의 바이러스예보 - 제 14호
안녕하십니까?
회원님의 안전한 컴퓨터 환경을
약속드리는 안철수연구소의 정보
지킴이입니다.
연일
무더위가 계속되고 있습니다.
시원한 산과 바다로 떠나고 싶은
여름이 벌써부터 우리들을 설레이게
합니다.
올 여름 휴가 계획은 세우셨습니까?
벌써부터 어디로 떠날까 고민하시는고객님도
계실 것입니다.
산과 바다로
떠날 때는 꼭 챙겨야 할 것이
있습니다. 바로 구급약입니다.
컴퓨터와 인터넷의 구급약,
만병통치! V3도 꼭 챙기시기 바랍니다.
이번 주에는 3개의 특정일
활동 바이러스 경고와 신종 바이러스에
대한 정보, 그리고 마이크로소프트사의
메일 시스템인 아웃룩(MS Outlook)을
이용해 확산되는 바이러스를 예방할
수 있는 간단한 대처방법을 소개하겠습니다.
- 차
례 -
1.
특정일 활동 바이러스 경고
(1)
특정일 활동 바이러스 목록 (6월
25일 ∼ 7월 1일)
(2)
Win95/CIH.1019
(3)
Win32/Champ
(4)
Win95/Love
2.
신종 바이러스 정보 : VBS/Stages
3.
아웃룩을 이용해 확산되는 바이러스
예방 대처방법
1.
특정일 활동 바이러스 경고
(1) 특정일 활동 바이러스
목록 (6월 25일 ∼ 7월 1일)
6월 25일 : NRLG.681, Pox.Kr.736,
Pox.Kr.633, Pox.Kr.709, Pox.Kr.978,
Pox.Kr.1016, Pox.Kr.1026,
Pox.kr.1159,
VCL.554
6월 26일 : Win95/CIH.1019,
VCL.554, XTAC, Oxana, No_Import_Rice
6월 27일 : VCL.554, XTAC, Oxana
6월 28일 : VCL.554, XTAC, Oxana
6월 29일 : VCL.554, XTAC, Oxana
6월 30일 : VCL.554, XTAC, Jerusalem.Payday,
Zerotime, Coffeeshop, Oxana,
SKism.808
7월 1일
: WM/MSMA, Juvenile_Delinquent,
Timer, Sonic, Beethoven, Fish_Boot,
Bbodong, Oxana,
Great_Dipper,
Win95/Love
(2) Win95/CIH.1019
다른 이름 : Win95.CIH.1019,
W95/CIH.1019
제 작 지 :
외산 대만
종 류
: 파일
기억
장소 : 상주형
감염 방법
: 겹쳐쓰기형
감염 위치 :
EXE
감염 증상 : 매월 26일에
시스템 정지, 플래시 메모리 및
하드 디스크 데이터 파괴(자세한
정보 보기)
(3) Win32/Champ
다른 이름 : W95.Champ.5447.b,
PE_CHAMPAGNE
제 작 지 :
외산 1999년06월
국내 발견
: 2000년03월24일
종 류 :
파일
기억 장소 : 비상주형
감염 방법 : 기생형
감염
위치 : EXE
감염 증상 : 매월
1일 몇 백개의 쓰레기 파일을
만든다.
비상주형 바이러스로
감염된 파일이 실행되면 EXE/PE
파일을 찾아 감염시키는 방법을
사용한다. 다형성 바이러스로
감염될 때마다 다른 암호화 방법을
사용해 진단이 어렵도록 한다.
일부 파일의 경우 바이러스의
버그로 감염시 손상된다.
"SCAN", "DRWE",
"PAVW", "AVP3",
"AVP1", "NOD3",
"NOD"로 파일명이 시작되는
파일은 감염시키지 않으며, 또한
ANTI-VIR.DAT 파일이 존재하면
삭제한다.
특징적인
증상은 매달 1일 몇 백개의 쓰레기
파일을 만드는 것이다.
(
ROOT디렉토리, \WINDOWS, \WINDOWS\SYSTEM
)
(4) Win95/Love
다른 이름 : Win95.Love.998
제 작 지 : 국산
국내 발견 : 1999년12월
종
류 :
파일
기억 장소 : 상주형
감염 방법 : 겹쳐쓰기형
감염
위치 : EXE
감염 증상 : 2000년
2월 이후 매달 1일 음악을 출력한다.
2000년 2월 이후 매달 1일(2월
1일 포함) 프로그램이 실행될
때 PC 스피커로 모 회사의 로고송을
연주하는 것 이외의 특별한 증상은
없다. 음악이 연주될 때는 시스템의
모든 동작이 멈추며 음악 연주가
끝난 후에는 컴퓨터를 다시 사용할
수 있다. (자세한
정보보기)
2. 신종바이러스
정보 : VBS/Stages
* 위험등급 : 4등급(대비)
VBS/Stages는 I-Worm.Scrapworm,
IRC/Stages.worm 등으로 불리는
외국산 웜으로 2000년 5월
30일 처음 발견되었으며, 6월
중순부터 퍼지기 시작하여 국내에도
2000년 6월 20일 발견되었다.
러브레터 바이러스와 감염
방법은 같지만 파일 형태가 vbs가
아닌 shs인데다가, MS 익스프로러나
윈도우 애플리케이션에서는 SHS가
윈도우 탐색기 옵션에 "모든파일표시"를
선택하여도 보이지 않아 사용자들은
단순한 TXT 형식의 텍스트문서인
것으로 보이기 때문에 일반 사용자가
웜이라고 판단하기는 어렵다.
따라서 V3 같은 백신으로 진단해야
감염 여부를 알 수 있다.
검사옵션을 '모든파일'로
설정한 후 V3 6월 22일자(6월
21일부터 제공)로 진단, 치료할
수 있으며 38912바이트 크기의
변형도 진단, 치료할 수 있다.
VBS/Stages 웜은 다른 파일에는
감염되지 않으므로 손쉽게 V3로
검사하여 진단된 파일을 삭제하면
되며 해당 파일 자체가 악성 프로그램이므로
치료하지 않고 삭제하는 것이다.
V3로 검사하여 발견된 웜을
모두 삭제를 했다면 웜이 변경해
놓은 REGEDIT.EXE 파일을 원래대로
되돌려 주는 작업과 레지스트리를
수정해 주는 작업을 해야 한다.
레지스트리를 수정해 주지 않으면
웜 삭제후 다음번 부팅시 마다
WScript 에러 메시지가 출력이
된다.
<다음의
방법으로 조치한다.>
1). [탐색기]
- [보기] - [폴더옵션] - [보기]
- [숨김파일] - "모든 파일
표시"를 설정 해놓고 탐색기를
실행하여
휴지통 폴더로 이동한다.
2). 휴지통 폴더에 있는
RECYCLED.VXD 파일이 있는지 확인해서
파일명을 REGEDIT.EXE로 변경하고
해
당
파일을 윈도우 폴더로 이동 시킨다.
또한
VBS/Stages 웜은 C:\WINDOWS\SYSTEM\SCANREG.VBS을
생성해 놓고 레지스트의 값을
변
경하여
다음번 부팅때 자동막�웜이
실행되도록 하는데 변경되는 레지스트리
값은 다음과 같다.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
ScanReg
= "C:\WINDOWS\WSCRIPT.EXE
C:\WINDOWS\SYSTEM\SCANREG.VBS"
REGEDIT를
원래의 파일로 변경했다면
3). 윈도우의 [시작] - [실행]
입력창에 REGEDIT를 입력해 실행한다.
4). 레지스트리 편집기가
실행되면 위에 있는 경로명으로
이동해 해당 레지스트리 값을
삭제해 주면 된다.
3.
아웃룩을 이용해 확산되는 바이러스
예방 대처방법
올해는 새로운 유형의 바이러스가
연일 등장하고 있다. 그중에서
우리에게 가장 잘 알려진 바이러스가
바로 전자 우편을 이용한 바이러스이다.
이런 바이러스는 아웃룩97/ 98/
2000 사용자들을 주요 대상으로
하고 있다.
아웃룩97/
98/ 2000 사용자는 Microsoft Office Update
웹 사이트에
있는 '아웃룩 첨부 파일 보안
업데이트' 기능을 하는 파일을
반드시 설치하여 미리 예방할
것을 권장한다.
'아웃룩
첨부 파일 보안 업데이트'는 Outlook의
주소록으로 메일을 보내는 기능을
막아 준다. 실행 파일과 같은
첨부 파일을 열 때 변경된 첨부
파일 대화 상자로 사용자에게
경고 메시지를 표시하고 파일을
열기 전에 파일을 시스템에 먼저
저장할 것을 요구한다.
이렇게
하면 .exe 파일에 숨어 있던 바이러스가
사용자의 부주의로 인해 확산되는
것을 우선 방지할 수 있다.
그러나 첨부 파일을
파일 시스템에 저장한다고 해서
바이러스가 자동으로 제거되는
것은 아니므로 첨부 파일을 열기
전에 항상 최신엔진으로 업데이트된
백신으로 검사해 보는 습관이
필수적이라 하겠다.
MicroSoft의 아웃룩 보안 업데이트
기능이 최근 발생한 VBS/Love_Letter의
확장명 '.VBS'와 VBS/Stages의
확장명 '.SHS'를 퇴치할 수있는
아웃룩 익스프레스 최신 버전을
내놓았으나 이 프로그램이 향후
출몰하는 바이러스에 얼마나 견뎌낼
수 있을지는 미지수다.
전자우편을 이용한 바이러스에
걸리지 않는 방법은 우선 모르는
사람으로부터 받은 메일에 첨부된
파일은 실행시키지 않는 것을
가장 기본으로 하며 항상 최신엔진의
백신으로 검사하는 것을 생활화
하는 것이 매우 중요하다.
*세상에서 가장 안전한 이름 V3 *
- E - Mail :
customer@ahnlab.co.kr
- 하 이
텔 : AHNLAB1
- 천
리 안 : ZPIAHN1
-
유 니 텔 : S2AHN
-
나우누리 : AHN1
-
URL : https://www.ahnlab.com
- PC 통신(하이텔,
천리안, 나우누리, 유니텔) 안철수연구소
포럼(GO AHN)
- PC
통신 고객전용 포럼
(하이텔:go
ahnv3, 천리안:go v3, 나우누리:go
ahn 41, 유니텔:go ahndw)
- 고객지원센터 : (02)558-7400
- 바이러스신고센터 : (02)558-7566
- 팩스: (02)558-7567
- 135-745, 서울특별시
강남구 삼성2동 144-17 삼화빌딩
10층