안철수연구소의 바이러스예보 - 제 25 호

안녕하십니까?

회원님의 안전한 컴퓨터 환경을 약속드리는 안철수연구소의 정보 지킴이입니다.

이번 추석 연휴 계획은 어떻게 세우셨습니까? 귀성 차량이 많아 차가 막히겠지만 고향을 향하는 작은 설레임으로 그 시간을 보내시기 바랍니다.

이번 주에는 특정일 활동 바이러스 경고와 신종 바이러스 정보, 그리고 네트워크로 감염되는 바이러스에 대한 정보를 보내 드립니다.

1. 특정일 활동 바이러스 경고
        (1) 특정일 활동 바이러스 목록 (9월 10일 ∼ 9월 16일)
        (2) September_11th

2. 신종 바이러스 정보
        (1) VBS/Love_Letter.BD
        (2) W97M/Titch.D

3. 네트워크로 감염되는 바이러스에 대한 정보

---

1. 특정일 활동 바이러스 경고

(1) 특정일 활동 바이러스 목록 (9월 10일 ∼ 9월 16일)
9월 10일 : VCL.554, Sunday, Korean_Sunday, Oxana, Great_Dipper
9월 11일 : September_11th, Fish_Boot, VCL.554, Oxana, No_Import_Rice, Great_dipper
9월 12일 : VCL.554, XTAC, Oxana, Great_Dipper
9월 13일 : IVP.928 IVP.944, VCL.554, XTAC, Oxana, Great_Dipper
9월 14일 : Jerusalem.EOS, VCL.554, XTAC, Oxana, Great_Dipper
9월 15일 : VCL.554, XTAC, Jerusalem.Payday, Zerotime, Coffeeshop, Oxana, MacGyver, Greater_Dipper
9월 16일 : Sonic, Clipper, Beethoven, VCL.554, XTAC, Oxana, Greater_Dipper

(2) September_11th
제작지    : 외산
국내 발견 : 1997년 6월
종류      : 부트
기억 장소 : 상주형
감염 위치 : 플로피 디스크의 부트섹터, 하드 디스크의 주부트섹터

감염된 시스템의 기본 메모리를 1 킬로바이트 줄이며, 주부트섹터에 원래 부트섹터의 데이터를 겹쳐 쓰는 형태로 감염된다. 감염된 시스템은 자체적으로 갖고 있는 내부 값이 하나씩 작아지는데 이 값이 0이 되면 하드 디스크 데이터가 파괴되어 하드 디스크로 부팅이 되지 않는다. 감염된 후 증상은 매년 9월 11일에 감염된 디스크로 부팅하면 하드 디스크의 부트섹터가 파괴되어 부팅이 되지 않는다. 하드 디스크와는 달리 부팅용 디스켓의 경우 부트 섹터의 데이터를 겹쳐 쓰므로 해당 디스켓을 치료하면 디스켓으로는 부팅이 되지 않지만 해당 디스켓의 읽고 쓰기에는 문제가 없다.


2. 신종 바이러스 정보

(1) VBS/Love_Letter.BD
종류     : 스크립트
위험도   : 3등급(위해)
제작지   : 불분명
백신버전 : 2000년 9월 6일

VBS/Love_Letter.BD는 VBS/Contract,VBS_LOVELETTR.BD, VBS.LoveLetter.BD등으로 불리는 외국산 스크립트 웜이다. 2000년 8월 15일 발견되었고, 국내에서는 아직 발견되지 않았다. 감염된 VBS 파일을 실행하면 스크립트가 실행되고 MS 아웃룩 (MS Outlook)을 이용해 아웃룩 주소록에 있는 주소로 첨부파일이 포함된 메일을 보낸다. 보내지는 메일의 제목과 내용은 다음과 같다.

제목 : Resume
내용 : 없음
첨부파일 : resume.txt.vbs
원형의 VBS/Love_Letter와는 달리 파일을 파괴하거나 mIRC용 웜을 설치하는 등의 증상은 없다.

(2) W97M/Titch.D
종류       : 매크로
바이러스   : 위험도 5등급(주의)
제작지     : 외국
국내발견일 : 2000년 8월 31일
백신 버전   : 2000년 9월  6일

W97M/Titch.D 바이러스는 W97M.Titch.D, W97M_TITCH.A 등으로 불리는 매크로 바이러스이다. 2000년 2월 발견되었고, 국내에서는 2000년 8월 31일 발견되었다.
감염된 문서를 열면 바이러스가 포함된 매크로가 실행되고 이후 사용하는 문서를 감염시킨다.
감염된 문서에는 'Arbind2000' 모듈이 존재한다. 사용자 서식 폴더의 NORMAL.DOT 파일에 바이러스 매크로가 저장된다. (워드 97의 경우 : 'C:\Program Files\Microsoft Office\Templates' 폴더,
워드 2000의 경우 :'C:\Windows\Application Data\Microsoft\Templates' 폴더 )

워드는 실행될 때마다 사용자 서식 폴더의 모든 워드 문서에서 매크로를 읽어오므로 이후 워드를 실행할 때마다 바이러스 매크로도 함께 실행된다. 오피스 97과 2000에서는 매크로 바이러스 예방 목적으로 매크로가 포함된 문서를 열 때 사용자에게 경고하는 기능이 있다. 이 바이러스에 감염되면 이 경고 기능을 끈 후 매크로가 포함된 문서를 열 때 경고창이 뜨지 않아 사용자가 바이러스 감염 사실을 어렵게 만든다.  단, 오피스 2000에서는 영향을 받지 않는다.

[ 매크로 경고 기능 설정 방법 ]

Word 97 : [도구(T)] -> [옵션(O)] -> [일반] -> [매크로 바이러스 보호 (P)] 설정
Word 2000 : [도구(T)] -> [매크로(M)] -> [보안]-> [보통] 으로 설정

사용자가 매크로를 전혀 사용하지 않는다면 오피스 2000에서는 '높음'을 설정하면 된다.


3. 네트워크로 감염되는 바이러스에 대한 정보

정보통신의 발전에 힘입어 인터넷의 이용이 점점 더 증가함에 따라 인터넷과 네트워크를 통한 바이러스 감염이 증가하고 있다.
인터넷과 네트워크를 통한 바이러스는 주로 E-Mail의 첨부파일이나 인터넷 또는 통신망으로부터 다운로드 받은 프로그램의 실행을 통해 감염된다. 이때 첨부된 파일이나 다운로드 받은 프로그램을 실행하지 않으면 바이러스에 감염되지 않는다.항상 모르는 곳으로부터 온 메일이나 일반적으로 검증되지 않는 프로그램 등의 실행에는 주의해야 한다.

최근에는 윈도우의 네트워크 드라이브 공유의 읽기/쓰기 권한이 모두 설정된 다른 컴퓨터까지 감염시키고 있으므로 공유 권한을 설정할 때 항상 주의해야 한다.

네트워크 드라이브에 공유가 되어 있더라도 쓰기 권한이 없는 경우에는 바이러스에 감염되지 않는다.

[  공유권한 설정 시 주의사항 ]

(1) 특별한 경우가 아니라면 읽기 권한만 부여하는 것이 좋다.
(2) C 드라이브 전체에 읽기/쓰기 권한이 설정되지 않도록 하는 것이 좋다.
(3) 읽기/쓰기 권한을 부여할 때에는 임의의 폴더를 만들고 공유하는 것이 좋다.
(4) 실행파일을 읽기/쓰기 권한이 있는 공유 폴더에 보관하지 않는 것이 좋다.

[ 네트워크 드라이브 공유의 읽기/쓰기를 통해 전파되는 대표적인 바이러스 ]

Win32/FunLove.4099
I-Worm/Qaz
VBS/Netlog
I-Worm/ExploreZip

---

PC보안에서 인터넷보안까지 안철수연구소가 함께 합니다

---

  - E - Mail : customer@ahnlab.com  
  - 하 이 텔 : AHNLAB1
  - 천 리 안 : ZPIAHN1
  - 유 니 텔 : S2AHN  
  - 나우누리 : AHN1
  - URL : https://www.ahnlab.com   
  - PC 통신(하이텔, 천리안, 나우누리, 유니텔) 안철수연구소 포럼(GO AHN)  
  - PC 통신 고객전용포럼  
     (하이텔:go ahnv3, 천리안:go v3, 나우누리:go ahn 41, 유니텔:go ahndw)  
  - 고객지원센터 : (02)558-7400  
  - 바이러스신고센터 : (02)558-7566  
  - 팩스: (02)558-7567