안철수연구소의 바이러스예보 - 제 24 호
안녕하십니까?
회원님의
안전한 컴퓨터 환경을 약속드리는
안철수연구소의 정보 지킴이입니다.
인터넷이
생활의 일부가 되버린 요즈음,
해킹은 더 이상 영화 속 이야기가
아닌 현실에서 부딪혀야만
하는 또 하나의 걱정거리가 되고
있습니다.
인터넷의 편리함을
누리기 위해서는 해킹의 위협에
항상 주의를 기울여야 하겠습니다.
주된 해킹툴로
사용되는 Win-Trojan의 감염에
대비하기 위해서는 매주 엔진
업데이트를 소홀히 해서는 안될
것입니다.
이번주에는
특정일 활동 바이러스 경고와
'부트 바이러스의 감염특성과
치료방법'에 관한 정보를 보내
드립니다.
1.
특정일 활동 바이러스 경고
(1)
특정일 활동 바이러스 목록 (9월
3일 ∼ 9월 9일)
(2)
Win95/CIH.1042
2.
신종 바이러스 정보 : I-Worm/Pokey
3.
부트 바이러스의 감염특성과 치료방법
1.
특정일 활동 바이러스 경고
(1)
특정일 활동 바이러스 목록 (
9월 3일 ∼ 9월 9일 )
9월
3일 : Sunday, Korean_Sunday,
Oxana, Great_Dipper
9월 4일
: Win95/CIH.1042, VCL.554, Oxana,
No_Import_Rice
9월 5일 :
VCL.554, MacGyber, Great_Dipper
9월
6일 : VCL.554, Oxana, Great_Dipper
9월
7일 : FCL.4194, VCL.554, Oxana,
Great_Dipper
9월 8일 : Taiwan.677,VCL.554,
Jerusalem.Payday, Zerotime,
Coffeeshop, Oxana, Great_Dipper
9월
9일 : NRLG.1040, NRLG.1006,
Little_Red, Sonic, IVP.548,
Beetheven, VCL.554, Bbodong,
Oxana, Great_Dipper
(2)
Win95/CIH.1042
종류 :
파일 바이러스
위험도 :
1등급(파괴)
국내발견일 :
2000년 7월
백신버전 :
2000년 7월
특정일활동 ;
매달 4일
바이러스에 감염된
파일이 실행되면 기억장소에 상주하여,
오픈되는 PE(Portable Executable)형
EXE 파일을 감염시킨다.
감염
후 특징은 매월 4일 플래시 메모리(Flash
memory)의 내용과 모든 하드 디스크의
데이터를 파괴해 버린다.
자세한
정보는 여기(http://home.ahnlab.com/warp/ViewVirus?num=731)를
참조.
2.
신종 바이러스 정보 : I-Worm/Pokey
종류
:
웜
위험도 :
1등급(파괴)
제작지 :
외국
백신버전 : 2000년
8월
W32.Pokey.Worm,
TROJ_POKEY.A 등으로 불리는 웜으로
2000년 6월에 처음 발견되었다.
남미쪽에서 제작된 것으로
추정되며 국내에는 아직 감염사례가
보고되지 않았다.
이 웜은
E-mail로 퍼지며 메일의 제목과
내용은 다음과 같다.
제목
: Pikachu Pokemon
내용 :
Great Friend!
Pikachu from
Pokemon Theme have some friendly
words
to say.
Visit Pikachu
at http://www.pikachu.com
See
you.
첨부파일 : PIKACHUPOKEMON.EXE
( 32768 바이트 )
첨부된
파일을 실행하면 다음과 같은
메시지와 함께 피카추 그림을
출력한다. 단, 비주얼 베이직
언어로 작성되어 실행 시 MSVBVM60.DLL파일이
필요하다.
'Between millions
of people
around the world
i found you.
Don't forget
to remember this day
every
time MY FRIEND!'
이후
아웃룩 주소록에 있는 사람들에게
웜이 첨부된 메일을 발송한다.
증상은 AUTOEXEC.BAT를 변경해
C:\Windows 폴더와 C:\Windows\System
폴더의 파일을 삭제하는 것이다.
단, 사용자가 'Y'를 누르지 않는
다면 파일이 삭제되지 않는다.
3.
부트 바이러스의 감염 특성과
치료방법
부트
바이러스는 감염된 부팅 디스켓으로
부팅할 때만 감염된다. 도스 환경에서
윈도우 환경으로 운영체계가 변화하고,
자료의 이동 수단 또한 디스켓이
아닌 인터넷이나 PC 통신을 주로
사용하게 됨으로써 발생 빈도는
상당히 줄어 들었다. 하지만 부트
바이러스는 일단 실행되면 치료가
쉽지 않은 경우도 상당 수 있으므로
주의를 요한다.
부트 바이러스의
일반적인 치료방법은 대부분 윈도우용
V3를 사용하면 된다. 그러나 일부
바이러스의 경우 특수 코드를
포함하고 있어 윈도우 환경에서
치료되지 않는 경우가 있다. 이것은
윈도우 98/95가 부트 섹터나 메모리에
자체 프로텍트 모드(메모리 보호
기능)를 가지고 있기 때문이다.
일반적으로 이 경우는 깨끗한
부팅 디스켓으로 부팅한 후 치료하면
된다.
만약 아직 하드 디스크로
부팅이 가능하고 하드 디스크에
V3+ Neo가 있다면 부팅 후 V3가
있는 폴더로 이동 후 V3+ Neo로
치료할 수 있다.
부트
바이러스는 감염위치에 따라 주부트,
도스 부트 섹터에 감염되는 바이러스로
나눌 수 있다. 주부트 섹터는
파티션 테이블을 말하는 것으로
하드 디스크에 관한 정보가 들어
있다. 사용자들이 부트 바이러스에
감염되어 하드 디스크를 포맷해도
계속 바이러스가 발견된다고 호소하는
경우는 대부분 주부트 섹터(마스터
부트)에 감염된 경우이다.
주부트
섹터에 감염된 부트 바이러스는
도스의 포맷 명령만으로는 제거되지
않는다.
이때에는 FDISK /MBR
명령으로 주부트 섹터의 내용을
다시 재작성해 주어 주부트 섹터에
감염된 바이러스를 제거해 주어야
한다.
PC
보안에서 인터넷
보안까지 안철수연구소가
함께 합니다.
- E -
Mail : customer@ahnlab.com
- 하 이 텔 : AHNLAB1
- 천
리 안 : ZPIAHN1
-
유 니 텔 : S2AHN
- 나우누리 : AHN1
- URL
: https://www.ahnlab.com
- PC 통신(하이텔,
천리안, 나우누리, 유니텔) 안철수연구소
포럼(GO AHN)
-
PC 통신 고객전용포럼
(하이텔:go
ahnv3, 천리안:go v3, 나우누리:go
ahn 41, 유니텔:go ahndw)
- 고객지원센터 :
(02)558-7400
-
바이러스신고센터 : (02)558-7566
- 팩스:
(02)558-7567