안철수연구소의 바이러스예보 - 제 19호

안녕하십니까?
회원님의 안전한 컴퓨터 환경을 약속드리는 안철수연구소의 정보 지킴이입니다.

지난 주도 V3와 함께 바이러스로부터 자유롭게 지내셨습니까?
건강은 건강할 때 지켜야 한다는 말처럼 여러분의 컴퓨터도 바이러스 예방을 위해 항상 V3를 곁에 두시기 바랍니다.

요즘 또 다시 VBS/Love_Letter.C가 기승을 부리고 있습니다. E-Mail의 제목에 'fwd: Joke', 첨부파일에 Ver Funny.vbs가 있으면 실행시키지 마시고 삭제하시기 바랍니다.
일단 감염된 컴퓨터의 jpg, jpeg 등 이미지 파일은 복구가 어려우므로 예방에 주의하시기 바랍니다.

이번 주에는 세개의 특정일 활동 바이러스 목록과 신종바이러스 정보, 그리고 오토캐드용 매크로 바이러스 정보를 보내 드리겠습니다.


1. 특정일 활동 바이러스 경고

        (1) 특정일 활동 바이러스 목록 (7월 29일 ∼ 8월 5일)
        (2) WM/MDMA
        (3) Win95/Love
        (4) NRLG.1018

2. 신종바이러스 정보 : W97M/Marker.CX

3. 오토캐드용 매크로 바이러스 정보

---

 1. 특정일 활동 바이러스 경고


(1) 특정일 활동 바이러스 목록 (7월 30일 ∼ 8월 5일)

7월 30일 : VCL.554, XTAC, Sunday, Korean_Sunday, Oxana
7월 31일 : Miny1.751, Win95/Boza, Beethoven, FK.658, Fish_Boot, VCL.554, XTAC, Oxana, No_Import_Rice
8월  1일 : WM/MDMA, Juvenile_Delinquent, Timer, Sonic, Fish_Boot, Oxana,Greater_Dipper, Win95/Love
8월  2일 : Keypress, Flip.2153, Oxana, Greater_Dipper
8월  3일 : NRIG.1018, XTAC, Great_Dipper
8월  4일 : Jerusalem.Payday, Zerotime, Coffeeshop, Oxana, Great_dipper
8월  5일 : Sonic, Beethoven, Bbodong, Oxana, MacGyver, Great_Dipper

(2) WM/MDMA
다른 이름 : Stickykeys, SHMK
제작지    : 외산 미국 1996년 7월
국내 발견 : 1997년 4월
종류      : 매크로
감염 위치 : MS Word

감염 증상은 매월 1일 메시지를 출력, 파일이나 폴더를 삭제한다.

이 바이러스는 특이하게 운영체제에 따라 다양한 증상을 나타낸다.
매킨토시의 경우 파일을 삭제하며, 윈도우 3.1의 경우는 C:\SHMK라는파일을 지운다.  또한 C:\AUTOEXEC.BAT 파일의 내용을 다음의 내용으로 겹쳐 써버린다.

"@echo off
delete /y c:
@echo You have just been phucked over by a virus"

따라서, 다음 부팅 시 하드 디스크의 모든 폴더가 삭제된다.
윈도우 95의 경우는 C:\SHMK라는 파일을 삭제하며, C:\WINDOWS의 모든 HLP 파일을 지운다. 또한 윈도우 레지스트리(registry)의 내용을 변경시킨다.

HKEY_CURRENT_USER\ControlPanel\Accessibility\Stickykeys와HKEY_CURRENT_USER\ControlPanel\Accessibility\HighContrst는 1이 되고HKEY_LOCAL_MACHINE\Network\Logon\ProcessLoginScript는 0이 된다.

또한, 윈도우 NT의 경우 루트의 모든 파일을 삭제하고 C:\SHMK 파일도 삭제한다.

(3) Win95/Love

종류       : 파일 바이러스
위험도     : 5등급(주의)
제작지     : 한국
국내발견일 : 1999년 12월
백신버전   : 1999년 12월
특정일활동 : 매월 1일

겹쳐쓰기, 상주형 바이러스로 2000�2월 이후 매달 1일 음악을 출력한다.
1999년 12월 말 최초 발견된 바이러스로 각 통신망을 타고 많이 배포되었다. 국내에서 제작되었으며. 윈도우 95/98에서만 활동하고, 윈도우 NT에서는 활동하지 않는다. 감염된 파일이 실행되면 기억장소에 상주한 후 오픈되는 파일 중 확장자가 EXE인 PE(Portable Executable) 형식의 윈도우 실행 파일을 감염시키나 시스템에 따라 기억장소에 상주하지 못하는 경우도 있다. 또한 EXE 파일을 감염시킬 때 '.reloc' 섹션이 있는 파일만 감염시킬 수 있다.

2000년 2월 이후 매달 1일(2월 1일 포함) 프로그램이 실행될 때 PC 스피커로 모 회사의 로고송을 연주하는 것 이외에 특별한 증상은 없다.
음악이 연주될 때는 시스템의 모든 동작이 멈추며 음악 연주가 끝난 후에는 컴퓨터를 다시 사용할 수 있다.

(4) NRLG.1018

제작지    : 국산
국내 발견 : 1997년 8월
종류      : 파일
기억 장소 : 상주형
감염 방법 : 기생형
암호 방식 : 암호화
감염 위치 : COMMAND.COM, COM

감염 증상은 8월 3일 하드 디스크의 데이터를 파괴한다.
감염 파일이 실행되면 메모리에 상주한 후 실행되는 COM 파일만 감염시킨다.
감염된 COM 파일 크기는 1018 바이트 늘어나지만 감염 파일의 날짜, 시간, 파일속성은 변하지 않는다.

감염된 후 증상은 감염 파일이 실행된 날짜가 8월 3일인 경우 하드 디스크 데이터를 파괴하는 증상이 있으며, 주부트섹터의 내용을 변경하여부팅 시 시스템의 날짜가 8월인 경우 하드 디스크 데이터를 파괴한다.


2. 신종 바이러스 정보 : W97M/Marker.CX

종류       : 매크로 바이러스
위험도     : 4등급(대비)
제작지     : 외국
국내발견일 : 2000년 7월
백신버전   : 2000년 7월
특정일 활동 : 2000년 7월 1일부터 매일

W97M/Marker.CX 바이러스는 W97M.Marker.BW, W97.Marker.CQ, W97M_MARKER.CX 등으로도 불리는 매크로 바이러스로 2000년 3월 발견되었다. 국내에서는 2000년 7월 19일 처음 발견되었다.

감염된 문서를 열면 바이러스가 포함된 매크로가 실행되고 이후 사용하는 문서를 감염시킨다.

사용자 서식 폴더의 NORMAL.DOT 파일에 바이러스 매크로가 저장된다.
( 일반적으로 워드 97은 'C:\Program Files\Microsoft Office\Templates' 폴더, 워드 2000은 'C:\Windows\Application Data\Microsoft\Templates' 폴더 )
워드는 실행될 때마다 사용자 서식 폴더의 모든 워드 문서에서 매크로를 읽어오므로 이후 워드를 실행할 때마다 바이러스 매크로도 함께 실행된다.

오피스 97과 2000에선 매크로 바이러스 예방 목적으로 매크로가 포함된 문서를 열 때 사용자에게 경고하는 기능이 있다.

이 바이러스에 감염되면 이 경고 기능을 꺼 이후 매크로가 포함된 문서를 열 때 경고창이 뜨지 않아 사용자가 바이러스 감염 사실을 어렵게 한다. 단, 오피스 2000에선 영향을 받지 않는다.

* 매크로 경고 기능 설정 방법

Excel 97 : [도구(T)] -> [옵션(O)] -> [일반] -> [매크로 바이러스보호(T)] 설정
Excel 2000 : [도구(T)] -> [매크로(M)] -> [보안] -> [보통] 으로 설정
Word 97 : [도구(T)] -> [옵션(O)] -> [일반] ->[매크로 바이러스 보호(P)] 설정
Word 2000 : [도구(T)] -> [매크로(M)] -> [보안] -> [보통] 으로 설정

사용자가 매크로를 전혀 사용하지 않는다면 오피스 2000에선 '높음' 설정하면 된다.

특징은 2000년 7월 부터 현재 작업 중인 문서를 'C:\Windows' 폴더에 AA와(숫자)AA.DOC인 파일을 생성하는 것이다. 숫자는 1부터 999999991이다. 심한 경우 하드 디스크 용량이 부족해 질 수 있다.

C:\Windows 폴더에 만들어지는 이들 파일은 삭제해 주는 것이 좋다.


3. 오토캐드용 매크로 바이러스 정보


최근 오토데스크사의 오토캐드 2000에서 활동하는 매크로 바이러스가 발견되어, 7월 26일자 V3 엔진에 진단·치료 기능을 제공한다.
에이캐드/스타(ACAD/Star)라는 이름의 이 바이러스는 500바이트 크기의 매크로 바이러스로, 현재까지는 국내에 피해 사례가 접수되지 않은 상태이다.

오토캐드(AutoCAD)는 기계, 전기, 건축 설계에 이용하는 소프트웨어 CAD(Computer Aided Design) 프로그램 중 하나로, 매크로 기능을 제공한다. 매크로 바이러스는 이제까지 MS 오피스 제품군(워드, 엑셀, 파워포인트 등)만을 감염시켰으나 이번에 오토캐드까지 감염 대상에 포함되었다는 점에서 관심의 대상이 된다.  
이는 매크로 기능을 제공하는 프로그램은 기본적으로 매크로 바이러스의 위험에 노출되어 있음을 보여준다.

에이캐드/스타(ACAD/Star) 바이러스 치료 엔진은 안철수연구소 웹사이트(www.ahnlab.com)에서 내려받을 수 있고 온라인 백신 MyV3로도 치료가능하다.

---

안철수연구소 쇼핑몰 새단장 기념 플러스4 이벤트를 진행하고 있습니다.
다양한 이벤트를 진행하고 있으니 많은 참여 바랍니다.

자세한 이벤트 내역보려면 http://home.ahnlab.com/event_new.html을 참조하시기 바랍니다.

---

인터넷 보안에서 PC보안까지 안철수연구소가 함께 합求�

---

  - E - Mail : customer@ahnlab.com
  - 하 이 텔 : AHNLAB1
  - 천 리 안 : ZPIAHN1
  - 유 니 텔 : S2AHN
  - 나우누리 : AHN1
  - URL : https://www.ahnlab.com  
  - PC 통신(하이텔, 천리안, 나우누리, 유니텔) 안철수연구소 포럼(GO AHN)
  - PC 통신 고객전용 포럼
     (하이텔:go ahnv3, 천리안:go v3, 나우누리:go ahn 41, 유니텔:go ahndw)
  - 고객지원센터 : (02)558-7400
  - 바이러스신고센터 : (02)558-7566
  - 팩스: (02)558-7567
  - 135-745, 서울특별시 강남구 삼성2동 144-17 삼화빌딩 10층