안철수연구소의 바이러스예보 - 제 16호
안녕하십니까?
고객님의 안전한 컴퓨터 환경을 약속드리는 안철수연구소의
정보 지킴이입니다.
"정직한
사람은 늘 손해를 본다"라는
말이 있습니다. 특히 요즘과 같은
통신이나 인터넷이 발달한
스피드한 경쟁시대에는 두말할
것도 없는 말입니다.
하지만
손해를 보는 사람이 결국 큰일을
성취하는 경우를 우리는 종종
보게 됩니다.
안철수연구소도
늘 고객님께 정직한 정보 지킴이가
되겠습니다.
이번 주에는
2개의 특정일 활동 바이러스 목록과
신종 바이러스 정보, 그리고 그동안
해킹툴로써 컴퓨터 안의 정보를
가져갔을지도 모를 백오리피스에
대한 정보를 보내 드립니다.
- 차
례 -
1.
특정일 활동 바이러스 경고
(1)
특정일 활동 바이러스 목록 (7월
9일 ∼ 7월 15일)
(2)
WM/Helper
(3)
Kill_Me
2.
신종 바이러스 정보 : W97M/Thus.G
3.
백오리피스 대처방안
1.
특정일 활동 바이러스 경고
(1)
특정일 활동 바이러스 목록 (7월
9일 ∼ 7월 15일)
7월
9일 : IVP.548, VCL.554,
Sunday, Korean_Sunday, Oxana,
Great_Dipper
7월 10일 : WM/Helper,
VCL.554, Oxana, No_Import_Rice,
Great_Dipper
7월 11일 : Fish_Boot,
VCL.554, Oxana, Great_Dipper
7월
12일 : VCL.554, XTAC, Oxana,
Great_Dipper
7월 13일 : Kill_Me,
IVP.928, IVP.944, VCL.554, XTAC,
Oxana, Great_Dipper
7월 14일
: Jerusalem.EOS, VCL.554, XTAC,
Jerusalem.Payday, Zerotime,
Coffeeshop,
Oxana, Great_Dipper
7월 15일
: Kill_Me, Sonic, Beethoven,
VCL.554, XTAC, Bbodong, Oxana,
Macgyver,
Great_Dipper
(2) WM/Helper
제작지 :
외국
국내 발견일 : 1997년
11월
종류 :
매크로 바이러스
DOC,
DOT 등 마이크로소프트 워드 문서를
감염시키고 암호화한다.
이
바이러스에 감염되면 AutoClose라는
매크로를 갖게 되는데 이 메시지는
암호화되어 있다.
감염 후
증상은 매월 10일 파일을 저장할
때 'help'라는 암호를 사용해
저장하므로,
파일을 오픈하려면
암호를 알아야 한다. Global template을
파괴시키는 증상도 가진다.
(3)
Kill_Me
제작지 :
국산
국내 발견일 : 1999년
01월
종류 :
파일
기억 장소 : 상주형
감염
방법 : 기생형
암호 방식 :
암호화
감염 위치 : COMMAND.COM,
COM, EXE
감염 증상은 7월
13일 파일 삭제 후 7월 15일 메시지를
출력한다.
감염된 파일 내부
암호를 풀어보면 'The KillMe
Virus Ver 1.0 199?. By Noh.K.S.'와
같은 문자열이 존재해 Kill_Me
바이러스로 명명되었다.
감염된
파일이 실행되면 기억장소에 상주한
후 실행되는 7760 바이트 이상의
COM, EXE 파일을
감염시키며,
감염된 파일 크기는 1972 바이트
늘어난다. 단, 파일 이름이 V3,
TV, K2, WIN으로
시작하는
파일은 감염되지 않는다.
감염된
후 증상은 매년 7월 13일
실행되는 파일을 삭제한다. 즉,
이날 파일을 실행하면
"Cannot
execute 실행한 파일이름"이
출력된다.
또한, 매년 7월
15일 파일을 실행하면 "The
KillMe Virus Ver 1.0 199?. By
Noh.K.S."라는
메시지를
출력한다.
2.
신종바이러스 정보 : W97M/Thus.G
*종류
:
매크로 바이러스
*위험도
: 5등급(주의)
*제작지 :
외국
*8국내 발견일 : 2000년
06년
W97M/Thus.G 바이러스는
W97M.THUS.M으로도 불리는 매크로
바이러스로
2000년 2월 발견되었다.
국내에서는 2000년 6월 30일 발견되었다.
감염된
문서를 열면 바이러스가 포함된
매크로가 실행되고 이후 사용하는
워드 문서를 감염시킨다.
문서가
열리거나 닫히거나 새로 만들어
질 때 감염시키는데 바이러스
버그로
새로운 문서를 만들
때는 다음과 같은 오류가 발생할
수 있다.
"컴파일 오류입니다.
: 구문 오류입니다."
사용자
서식 폴더의 NORMAL.DOT에 바이러스
매크로가 저장된다.
( 일반적으로
워드 97은 C:\Program Files\Microsoft
Office\Templates,
워드 2000의
경우 C:\Windows\Application
Data\Microsoft\Templates )
워드는
실행될 때마다 사용자 서식 폴더의
모든 매크로를 읽으므로 이후
워드가 실행할 때마다 바이러스도
실행된다. 바이러스 감염 외에
특별한 증상은 없다.
V3에서는
7월 5일자 엔진으로 치료가 가능하다.
3.
백오리피스 대처방안
백오리피스는
'Cult of Dead Cow(죽은 소에
대한 숭배)'라는 해커 그룹이
제작,
발표한 해킹 툴로, 마이크로소프트(MS)
네트워크 관리 프로그램 '백오피스'를
응용(일종의 패러디)한 것이다.
백오리피스는 인터넷
상의 TCP/IP 프로토콜에 의해서만
작동되며 Boserve.exe라는
프로그램이
설치되어 있는 상대방의 컴퓨터을
조작할 수 있는 강력한 기능을
가진
해킹 툴이다.
백오리피스가
설치하는 파일은 다음과 같다.
c:\windows\system\.exe
c:\windows\system\windll.dll
위의 예처럼 백오리피스는
윈도우의 시스템 폴더에 두거나
파일이름을 시스템
파일인
것처럼 위장하여 파일 삭제를
망설이게 만든다.
백오리피스를
V3에서는 트로이목마로 진단해
치료불가로 인식시켜 삭제한다.
이 파일이 삭제되더라도 시스템에는
아무런 영향을 미치지 않는다.
백오리피스가
삭제되지 않을 때는 윈도우에서
실행 중이므로 도스로 부팅 후
'V3 /a'
명령으로 진단 후
삭제하면 된다.
삭제 후 레지스트리
편집기를 실행시켜 다음의 값을
지워준다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\.exe
*세상에서 가장 안전한 이름 V3 *
- E - Mail :
customer@ahnlab.co.kr
- 하 이
텔 : AHNLAB1
- 천
리 안 : ZPIAHN1
-
유 니 텔 : S2AHN
-
나우누리 : AHN1
-
URL : https://www.ahnlab.com
- PC 통신(하이텔,
천리안, 나우누리, 유니텔) 안철수연구소
포럼(GO AHN)
- PC
통신 고객전용 포럼
(하이텔:go
ahnv3, 천리안:go v3, 나우누리:go
ahn 41, 유니텔:go ahndw)
- 고객지원센터 : (02)558-7400
- 바이러스신고센터 : (02)558-7566
- 팩스: (02)558-7567
- 135-745, 서울특별시
강남구 삼성2동 144-17 삼화빌딩
10층