[바이러스 예보 - 제 21호]
회원님의 안전한 컴퓨터 환경을 약속드리는 안철수연구소의 정보 지킴이입니다.
연일 비오고 흐린 날씨 뒤, 또 맑은 날이 되풀이 되고 있습니다.
한창 휴가를 즐기시는 분들의 마음을 조금은 흐리게 할 수도 있겠지만 모처럼의 자유를 마음껏 누리시기 바랍니다.
휴가 후 새로운 마음으로 시작하실 때 꼭 엔진업데이트 하시는 것도 잊지 마시기 바랍니다.
이번주에는 특정일 활동 바이러스와 신종 바이러스 정보, 그리고 Win-Trojan에 대한 정보를 보내 드리겠습니다.
1. 특정일 활동 바이러스 경고
(1) 특정일 활동 바이러스 목록 (8월 13일 ∼ 8월 19일)
(2) W97M/Class.B
(3) Casino
(4) Russian_Flag
2. 신종바이러스 정보
(1) X97M/HJB_Killer
(2) X97M/Killer
(3) I-Worm/Qaz
3. Win-Trojan에 대한 정보
1. 특정일
활동 바이러스 경고
(1) 특정일
활동 바이러스 목록 (8월 13일
∼ 8월 19일)
8월 13일
: IVP.928 IVP.944, VCL.554,
XTAC, Sunday, Korean_Sunday,
Oxana, Great_Dipper
8월
14일 : W97M/Class.B, Jerusalem.EOS,
VCL.554, XTAC, Oxana, No_Import_Rice,
Great_Dipper
8월 15일 :
Casino, VCL.554, XTAC, Oxana,
MacGyver, Greater_Dipper
8월 16일 : Clipper, VCL.554,
XTAC, Oxana, Greater_Dipper
8월 17일 : VCL.554, XTAC, Oxana,
Great_Dipper
8월 18일 :
Pox.Kr.1117, VCL.554, XTAC,
Jerusalem.Payday, Zerotime,
Coffeeshop, Oxana, Great_dipper
8월 19일 : Russian_Flag, Sonic,
Miny1.1010, Beethoven, XRAC,
Oxana, Great_Dipper
(2) W97M/Class.B
종류 :
매크로 바이러스 위험도 4등급(대비)
제작지 :
미국
국내발견일 : 1998년
9월
백신버전 :
1998년 9월
감염 후
특징적인 증상은 매년 6월 이후
매달 14일 문서를 열거나 닫을
때
"VicodinES LovesYou/Class.Poppy"
"I Think 사용자 이름 is
a big stupid jerk!" 라는
메시지가 담긴 윈도우 창이 나타난다.
(3) Casino
종류 :
파일바이러스
위험도 :
미정
제작지 :
몰타
국내발견일 ;
1998년 6월
백신버전 :
1991년 4월
감염 후
특징적인 증상은 1월, 4월, 8월
15일에 카지노 게임을 하는 것이다.
이때 바이러스는 사용자의 FAT을
파괴시킨 후 카지노 게임을 하게
되는데 만약 사용자가 이기면
파괴된 FAT를 원상태로 복구시켜준다.
(4) Russian_Flag
제작지 :
외산 러시아
국내 발견 :
1997년12월
종류 :
부트
기억 장소 : 상주형
감염 위치 : 플로피 디스크의
부트섹터, 하드 디스크의 주부트섹터
감염된 후 특징적인 증상은
8월 19일 부팅시 러시아 국기가
화면에 출력된 후 부팅이 된다.
2. 신종
바이러스 정보
(1) X97M/HJB_Killer
종류 :
매크로 바이러스
위험도 :
5등급(주의)
제작지 :
한국
국내발견일 : 2000년
8월
백신버전 :
2000년 8월
제작자는
X97M/HJB 바이러스 치료를 목적으로
매크로를 작성한
것으로 추정한다.
하지만 제작자의 실수로 매크로가
다른 문서
로 복사되어 바이러스
역할을 한다.
실행되면 이후
사용하는 문서에서 X97M/HJB 바이러스
감염여부를 검사한후
바이러스를
치료 한 후 다음과 같은 메시지를
출력한다.
"hjb바이러스
걸려서 치료완료했습니다."
하지만, 이 과정에서 다른 문서에
매크로를 복사한다.
(2) X97M/Killer
종류 :
매크로 바이러스
위험도 :
5등급(주의)
제작지 :
외국
국내발견일 :
2000년 8월
백신버전 :
2000년 8월
감염된 문서를
열면 바이러스가 포함된 매크로가
실행되고 이후 사용하는 문서를
감염시킨다.
사용자 서식
폴더의 ACF.XLS 파일과 BOOK1.XLS
파일에 바이러스 매크로가 저장된다.
(3) I-Worm/Qaz
종류 :
웜
위험도 :
3등급(위해)
제작지 :
중국
국내발견일 :
2000년 8월
백신버전 :
2000년 8월
내 용 :
I-Worm/Qaz는 Qaz.Trojan
등으로 불리는 웜으로, 2000년
7월 17일 중국에서 최초 발견되었고
프로그램 내부의 IP가 중국 소속인
것으로 보아 제작지가 중국인
것으로 추정된다.
국내에는
2000년 8월 4일 처음 보고되었다.
사용자가 변경된 메모장을 실행하면
네트워크에 연결된 컴퓨터의 공유
폴더를 뒤져 NOTEPAD.EXE 파일을
찾는다. 읽기/쓰기가 가능한 폴더라면
NOTEPAD.EXE를 NOTE.COM으로 바꾼
후 웜인 NOTEPAD.EXE 파일을 복사한다.
이렇게 되면 사용자가 메모장을
열었을 때 웜이 먼저 실행되고
메모장이 열린다.
메모장이
열리기 때문에 사용자는 감염
사실을 인지하기 어렵다.
전체 네트워크로 확산되는 것을
막으려면 C 드라이브나 특정 폴더에
읽기/쓰기 공유가 되어 있다면
반드시 공유를 해제해야 한다.
감염된 사용자가 메모장을
사용하면 레지스트리를 변경해
다음 번 부팅 때마다 웜이 실행되도록
한다.
용도가 불분명한 포트를
열어두기 때문에 누군가에 의해
PC가 원격 제어될 가능성이 있다.
V3
제품군 8월 10일자 엔진으로 레지스트리까지
완벽하게 치료할 수 있다.
치료 후에는
다음 과정으로 NOTEPAD.EXE를
삭제하고 NOTE.COM 파일을 NOTEPAD.EXE로
변경해야 한다.
① 도스
모드로 부팅 후 윈도우 폴더에
있는 NOTEPAD.EXE 파일을 삭제한다.
(도스 모드는 컴퓨터 부팅시
"Starting Windows95/98"라는
메시지가 출력될 때 [F8]키를
눌러 "Command Prompt Only
Mode" 메뉴로 부팅하거나,
윈도우의 시스템 종료시 "MS-DOS
모드에서 시스템 다시 시작"으로
나갈 수 있다.
예) cd
\windows
del
notepad.exe
② NOTE.COM
파일을 NOTEPAD.EXE로 변경한다.
예) ren note.com notepad.exe
③ 시스템을 재부팅한다.
3. Win-Trojan에
대한 정보
Win-Trojan은 다른 파일을
감염시키지는 않지만 인터넷을
통해 외부인이 자신의 컴퓨터로
들어와 파일을 삭제하거나 정보를
가져갈 수 있는 해킹 프로그램으로
모두 서버/클라이언트 모델로
설계되어 있다.
공격자는
침투할 컴퓨터에 클라이어트 프로그램을
설치해야만 해킹이 가능하다.
프로그램이 설치되고 접속되면
공격자는 침입 컴퓨터의 모든
권한을 갖는다.
치료방법은
Win-Trojan으로 진단되는 파일을
삭제하면 된다.
삭제되지
않는 경우는 트로이 목마 프로그램이
설치될 때 Windows를 부팅하면
자동으로 실행되도록 만들어져
있기 때문이다. 이때는 도스모드나
깨끗한 시동 디스켓으로 부팅하여
'V3 c: /a' 명령으로 Win-Trojan
를 삭제할 수 있다.
만약 삭제후에 다시 해당 Win-Trojan가
생성된다면 이 트로이 목마를
감염시키는 드로퍼 프로그램이
설치된 것으로 이러한 경우에는
최근에 설치된 프로그램부터 차례로
확인한다. 확인이 어려울 경우
"시작"->"실행"을
선택한 후 msconfig라고 입력해
시작프로그램에서 프로그램의
목록을 중 정상적인 파일이름이
아닌 경우 체크 해제 하고 재부팅해서
확인해야 한다.
대표적인
Win-Trojan Top 10
Win-Trojan/BO
Win-Trojan/BO.57856
Win-Trojan/BO_2000
Win-Trojan/Ecokys
Win-Trojan/Ecokys.C
Win-Trojan/Jumin.64000
Win-Trojan/SubSeven_v22
Win-Trojan/Subseven
Win-Trojan/XTCP
Win-Trojan/Y2Kaos