[긴급 업데이트 - 08월 10일]
안녕하십니까?
고객님의 안전한 컴퓨터 환경을 약속드리는 안철수연구소의 정보지킴이입니다.
최근 I-Worm/Qaz의 감염사례가 늘고 있어 이에 대한 긴급 업데이트 소식을 전해드립니다. 이 웜은 네트웍을 통해 읽기/쓰기 공유가 된 하드에 감염되는 특성을 가지고 있어 감염 확산이 용이합니다.
따라서 아래 정보를 참고하여 8월 10일자 엔진으로 업데이트 하신 후 I-Worm/Qaz 감염여부를 확인해 보시기 바랍니다.
(8월 10일자 엔진에서는 Win-Trojan/Qaz로 진단하나, I-Worm/Qaz로 변경되었으니 참고하시기 바랍니다.)
1. I-Worm/Qaz 정보
2. I-Worm/Qaz 치료 방법
2-1. V3Pro 2000 Deluxe 사용자의 치료방법
2-2. V3Pro 98 사용자의 치료방법
3. 주의사항
1.
I-Worm/Qaz 정보
* 이름 :
I-Worm/Qaz
* 종류 : 웜
* 위험도 : 3등급
* 제작지
: 중국
* 국내발견일 : 2000년
8월 4일
* 진단 : Y
*
치료 : Y
* 백신버전 : 2000년
8월 10일자
I-Worm/Qaz는
Qaz.Trojan 등으로 불리는 웜으로
2000년 7월 17일 중국에서 최초
발견되었고 프로그램 내부의 IP를
조사해본 결과 중국으로 밝혀져
중국에서 제작된것으로 추정됩니다.
국내에는 2000년 8월 4일 처음
보고 되었습니다.
사용자가
변경된 메모장을 실행하면 네트웍에
연결된 컴퓨터의 공유 폴더를
뒤 져 NOTEPAD.EXE 파일을 찾습니다.
읽기/쓰기가 가능한 폴더라면
NOTEPAD.EXE를 NOTE.COM으로 이름을
바꾼후 웜인 NOTEPAD.EXE 파일을
복사합니다.
감염된 사용자가
메모장을 사용하면 레지스트리를
변경해 매번 부팅때 마다 웜이
실행되도록 하며 윔이 실행중일때는
용도가 불분명한 포트를 열어둡니다.
2.
I-Worm/Qaz 치료 방법
* 네트웍을
돌며 감염되는 바이러스에 대한
가장 중요한 예방은 하드디스크
전체 혹은 윈도우 폴더등에 읽기/쓰기
공유를 하지 않아야 한다는 점입니다.
2-1. V3Pro 2000 Deluxe
사용자의 치료방법
(1)
먼저 8월 10일자 엔진으로 업데이트를
합니다.
(2) 바이러스
감염여부를 위해 검사를 합니다.
(3) Win-Trojan/Qaz가 진단되면
바로 [전체목록치료]를 선택해
치료를 합니다.
(4)
도스모드로 부팅후 윈도우 폴더에
있는 NOTE.COM 파일을 NOTEPAD.EXE로
변경합니다.
예)
ren note.com notepad.exe
(5) 시스템을 재부팅합니다.
2-2. V3Pro 98 사용자의
치료방법
윈도우 바탕화면에서
[시작] -> [실행] -> REGEDIT
입력후 엔터 -> 레지스트리
편집기가 실행되면 다음의 경로를
찾아들어가 해당 값을 삭제해
주시기 바랍니다.
(1)
HKEY_LOCAL_MACHINE
Software
\Microsoft
\Windows
\CurrentVersion
\run
\starIE\notepad.exe
qazwsx.hsq <---
삭제 합니다.
(2) 도스모드로
부팅후 윈도우 폴더에 있는 NOTEPAD.EXE
파일은 삭제합니다.
※ 참고로 도스모드는 컴퓨터
부팅시 "Starting Windows95/98"
라는 메시지가 출력될 때
예) cd
\windows
del
notepad.exe
(3) NOTE.COM
파일을 NOTEPAD.EXE로 변경해
줍니다.
예)
ren note.com notepad.exe
(4) 시스템을 재부팅 합니다.
레지스트리를
삭제하지 않고 트로이목마를 삭제한
후 NOTE.COM을 NOTEPAD.EXE로
바꿀 경우 윈도우 부팅시 에러
메시지( qazwsx.hsq 파일을 찾을
수 없습니다. 새 파일을 작성하시겠습니까
?)가 발생 합니다. 따라서 반드시
레지스트리의 변경된 내용을 삭제해
주어야 합니다.