안철수연구소의 바이러스예보 - 제 22 호

안녕하십니까?
회원님의 안전한 컴퓨터 환경을 약속드리는 안철수연구소의 정보 지킴이입니다.

사랑을 하고 있는 사람이 아름다워 보이는 까닭은 아마도 자신이 지킬 무엇인가 가 있다는 것을 느끼며 항상 생각하고 곁에 있으려 노력하는 점일 것입니다.

사랑하는 마음을 간직하고 있는 사람처럼 여러분의 컴퓨팅 생활을 지켜드리는 '세상에서 가장 안전한 이름 V3'가 되겠습니다.

이번주에는 특정일 활동 바이러스 경고와 신종 바이러스 정보, 그리고 I-Worm에 대한 정보를 보내 드립니다.


1. 특정일 활동 바이러스 경고

        (1) 특정일 활동 바이러스 목록 (8월 20일 ∼ 8월 26일)
        (2) Euthanasia
        (3) Win95/CIH.1019

2. 신종 바이러스 정보 : W97M/Assilem.C

3. I-WORM에 대한 정보
 

---

1. 특정일 활동 바이러스 경고

(1) 특정일 활동 바이러스 목록 (8월 20일 ∼ 8월 26일)

8월 20일 : Sonic, NRLG.1027, IVP.790, Beethoven, VCL.544, XTAC, Bbodong, Oxana, Great_Dipper
8월 21일 : VCL.554, XTAC, Korean_Sunday, Oxana
8월 22일 : Euthanasia, Euthanasia_II, Euthanasia_III, Rosebud, VCL.554, XTAC, Oxana, No_Import_Rice
8월 23일 : VCL.554, XTAC, Oxana
8월 24일 : Pox.955, Pox.Kr.653, Form, VCL.554, XTAC, Oxana
8월 25일 : NRLG.681, Pox.Kr.736, Pox.Kr.633, Pox.Kr.709, Pox.Kr.978, Pox.Kr.1016, Pox.Kr.1026, Pox.Kr.1159, VCL.554, XTAC, MacGyver
8월 26일 : Win95/CIH.1019, VCL.554, XTAC, Jerusalem.Payday, Zerotime, Coffeeshop, Oxana, Skism.808

(2) Euthanasia

다른 이름 : Hare
제작지    : 외산
국내 발견 : 1996년 5월
종류      : 부트/파일
기억 장소 : 상주형
감염 방법 : 기생형
암호 방식 : 암호화(다형성기법 사용)
감염 위치 : 플로피 디스크의 부트 섹터, 하드 디스크의 주부트섹터, COMMAND.COM, COM, EXE

바이러스가 상주하고 있는 동안은 하드 디스크를 파괴하지 않으나 재부팅하면 파티션 데이터가 파괴되어 하드 디스크로 부팅이 되지 않는 문제가 발생한다.

자세한 정보는 여기(http://home.ahnlab.com/warp/ViewVirus?num=349)를 참조.

(3) Win95/CIH.1019

다른 이름 : Win95.CIH.1019, W95/CIH.1019
제작지    : 외산 대만
종류      : 파일
기억 장소 : 상주형
감염 방법 : 겹쳐쓰기형
감염 위치 : EXE

(WIN95/PE) CIH의 변종 바이러스로 (WIN95/PE) CIH의 감염 특성을 그대로 가지고 있지만 WinZip Self Extracter 파일에 감염되더라도 실행 시 자동풀림실행 압축파일에 대한 에러가 발생하지 않지 않도록 수정되었다.

또한 매년 4월 26일에 플래시 메모리(Flash memory)의 내용과 모든 하드 디스크의 데이터를 파괴하던 원형을 매월 26일에 일어나도록 변형되었다.

자세한 정보는 여기(http://home.ahnlab.com/warp/ViewVirus?num=38)를 참조.


2. 신종바이러스 정보 : W97M/Assilem.C

이름 : W97M/Assilem.C
종류 : 매크로
위험도 : 5등급
제작지 : 외국
국내발견일 : 2000년 8월 10일
진단/치료 : 가능
백신 버전 : 2000년 8월 16일자
특정일 활동 : 없음

W97M/Assilem.C 바이러스는 W97M.Melissa.X, W97M_MONEY99 등으로 불리는 매크로 바이러스로 1999년 11월 발견되었다. 국내에서는 2000년 8월 10일 발견되었다.

감염된 문서를 열면 바이러스가 포함된 매크로가 실행되고 이후 사용하는 문서를 감염시킨다.

증상은 "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 레지스트리 정보에서 다음과 같은 키 값의 유무를 확인해 없으면 추가한다.

"Mcafee VShield = "c:\windows\system\vshield.exe"
사용자 서식 폴더의 NORMAL.DOT 파일에 바이러스 매크로가 저장된다.
( 일반적으로 워드 97은 "C:\Program Files\Microsoft Office\Templates" 폴더, 워드 2000은 C:\Windows\Application Data\Microsoft\Templates" 폴더 )

워드는 실행될 때마다 사용자 서식 폴더의 모든 워드 문서에서매크로를 읽어오므로 이후 워드를 실행할 때마다 바이러스 매크로도 함께 실행된다.

오피스 97과 2000에서는 매크로 바이러스 예방 목적으로 매크로가 포함된 문서를 열 때 사용자에게 경고하는 기능이 있다.

이 바이러스에  감염되면 이 경고 기능을 꺼 이후 매크로가 포함된 문서를 열 때 경고창이 뜨지 않아 사용자가 바이러스 감염 사실을 알 수 없도록 한다. 단, 오피스 2000에선 영향을 받지 않는다.

 * 매크로 경고 기능 설정 방법

 Word 97   : "도구(T)" -> "옵션(O)" -> "일반" -> "매크로 바이러스 보호(P)" 설정
 Word 2000 : "도구(T)" -> "매크로(M)" -> "보안" -> "보통"으로 설정

사용자가 매크로를 전혀 사용하지 않는다면 오피스 2000에선 '높음'으로 설정하는 것이 좋다.

다음과 같은 문자열을 포함하고 있지만 화면에 출력하지는 않는다.

'Mcafee blows; mail suggestions/improvements to anon15773@hushmail.com
'Shout out to ma nigga Sketch
'Done


3. I-WORM에 대한 정보

I-Worm은 인터넷 웜이라고 하며 메일 프로그램을 이용해 전파된다. 보통 메일 프로그램의 주소록을 뒤져 주소록에 포함된 모든 사람들에게 웜이 첨부된 메일을 자동으로 보낸다거나, 아직 답장하지 않은 것만 골라서 보내기도 한다.

단순히 웜이 첨부된 메일만 보내어 인터넷 등의 속도나 시스템에 무리를 주는 것 뿐만 아니라, 특정 파일을 0 바이트로 만들거나 재부팅하면 하드 디스크를 포맷하고, 사용자 정보를 빼내가는 등의 특별한 증상도 많다.

I-Worm은 모두 메일에 웜을 첨부하여 보내는데 모두 동일한 이름이여서 사용자가 조금 관심을 가지면 첨부파일이 웜인지 금방 알 수 있다. 그러나 최근 발견된 웜은 메일을 보낼 때마다 랜덤하게 이름을 달리 하여 보내기 때문에 사용자가 쉽게 눈치를 못채는 경우도 있다.

치료방법은 I-Worm으로 진단되는 파일을 삭제하면 된다.

[대표적인 I-WORM TOP 10]

I-Worm/Qaz (http://home.ahnlab.com/warp/ViewVirus?num=735)
I-Worm/ExploreZip(http://home.ahnlab.com/warp/ViewVirus?num=657)
I-Worm/ExploreZip.packed (http://home.ahnlab.com/warp/ViewVirus?num=674)
I-Worm/Happy99 (http://home.ahnlab.com/warp/ViewVirus?num=387)
I-Worm/PrettyPark (http://home.ahnlab.com/warp/ViewVirus?num=389)
I-Worm/PrettyPark.60928 (http://home.ahnlab.com/warp/ViewVirus?num=662)
I-Worm/PrettyPark.B (http://home.ahnlab.com/warp/ViewVirus?num=664)
I-Worm/White (http://home.ahnlab.com/warp/ViewVirus?num=671)
I-Worm/MyPics(http://home.ahnlab.com/warp/ViewVirus?num=380)
I-Worm/Fix2001 (http://home.ahnlab.com/warp/ViewVirus?num=678)

---

안철수연구소 쇼핑몰 새단장 기념 플러스4 이벤트를 진행하고 있습니다.
다양한 이벤트를 진행하고 있으니 많은 참여 바랍니다.

자세한 이벤트 내역을 보려면 http://home.ahnlab.com/event_new.html을 참조하시기 바랍니다.

---

인터넷 보안에서 PC보안까지 안철수연구소가 함께 합니다.

---

  - E - Mail : customer@ahnlab.com
  - 하 이 텔 : AHNLAB1
  - 천 리 안 : ZPIAHN1
  - 유 니 텔 : S2AHN
  - 나우누리 : AHN1
  - URL : https://www.ahnlab.com  
  - PC 통신(하이텔, 천리안, 나우누리, 유니텔) 안철수연구소 포럼(GO AHN)
  - PC 통신 고객전용포럼
     (하이텔:go ahnv3, 천리안:go v3, 나우누리:go ahn 41, 유니텔:go ahndw)
  - 고객지원센터 : (02)558-7400
  - 바이러스신고센터 : (02)558-7566
  - 팩스: (02)558-7567
  - 135-745, 서울특별시 강남구 삼성2동 144-17 삼화빌딩 10층