크리스마스의 CIH, 크리즈(Kriz) 바이러스 주의보 발령

-손상된 데이터 복구 불가능, 사전조치가 최선
-PC방 특히 요주의
-안철수연구소 24, 25일 비상대응

보안 솔루션 기업 안철수연구소(www.ahnlab.com)는 크리스마스날 CIH 바이러스와 유사한 파괴 증상을 일으키는 크리즈(Win32/Kriz) 바이러스 주의보를 발령하고, 비상대응팀을 구성해 연휴인 24, 25일 정상 근무하기로 했다.

크리즈(Kriz) 바이러스는 지난 9월에 발견된 이후 게임 관련 프로그램에 감염된 채 확산되어 9월~11월까지 안철수연구소에 신고된 것만 1,674건으로, 월 평균 558건에 달하는 것으로 집계됐다.

크리즈(Kriz) 바이러스는 12월 25일에 하드 디스크 파일과 CMOS 데이터 및 롬 바이오스를 손상시킨다. 하드 디스크 파일이 손상된 경우는 CIH의 경우와 달리 복구가 불가능해(이는 섹터 단위가 아닌 파일 단위로 내용을 겹쳐쓰기하기 때문이다) 중요 파일을 잃었을 경우 문제가 심각하다. CMOS 데이터와 롬바이오스가 손상된 경우 부팅조차 되지 않는 뇌사 상태가 되며 이 경우 바이오스 칩을 교체해야 한다.

CIH 바이러스가 4월 26일이면 무조건 활동하는 데 반해 크리즈 바이러스는 컴퓨터 날짜가 12월 25일이 되고 파일을 219회 열면 파괴 활동을 시작한다. 따라서 컴퓨터를 사용하다 어느 순간 갑자기 컴퓨터가 다운되는 것처럼 보인다. 소프트아이스(SoftIce)라는 디버깅 툴이 실행되고 있으면 날짜와 상관 없이 무조건 파괴 증상이 나타나는 것도 CIH와 다른 점이다.

파괴 증상이 나타나는 날이 성탄절이기 때문에 기업이나 공공기관보다는 PC방이나 파일 오픈 양이 많은 가정에서 주로 피해가 발생할 것으로 예측되므로 PC방 사업장의 각별한 주의가 필요하다.

한편 안철수연구소 자체 테스트 결과 윈도우 95/98/NT가 감염되며, 도스, 윈도우 2000/Me는 감염되지 않는 것으로 나타났다. (보충 자료 참고)

안철수연구소 고객지원실 임영선 실장은 “크리즈 바이러스로 인해 손상된 데이터는 복구 불가능하기 때문에 사전조치가 최선이다. V3를 비롯한 백신 프로그램으로 진단/치료하면 전혀 문제가 되지 않으므로 예방에 관심을 기울이기 바란다.”고 당부했다.

24, 25일 비상대응팀 연락처 2186-6000, 558-7400, 558-7566


[보충 자료]

■Win32/Kriz 바이러스의 운영체계별 테스트 결과

* 도스창
- Q 또는 V로 시작하는 EXE 형태의 도스용 파일을 복사/삭제/실행 등이 되지 않도록 바이러스가 막는다.

* 윈도우 9x
- 12월 25일 날짜 이외에 일정 조건이 되어야 파괴 증상이 나타난다. 감염 PC에서는 BIOS 칩만 손상되고 하드 디스크의 파일에는 이상이 없다. 그러나 다른 하드 및 네트워크로 연결된 서버나 타 PC의 파일을 손상시킬 수 있다. (단, 쓰기 권한이 있는 경우)

* 윈도우 Me
- 감염 파일을 실행하더라도 메모리나 다른 파일은 감염되지 않는다.

* 윈도우 NT
- FAT16 방식에서는 바이러스에 감염된다. 감염 파일이 많으면 부팅 중 일반보호오류(General Protection Fault)가 나고 부팅이 안 되는 경우가 있다.
- NTFS 방식에서는 감염되지 않는다. 감염 파일 실행시 KRIZED.TT6 파일이 생성되며, 부팅 시 부팅만 반복되고 다음 작업으로 넘어가지 않는다. 그러나 감염되지 않으므로 파일에 직접적인 파괴 증상은 일어나지 않는다.

* 윈도우 2000
- FAT32 & NTFS 방식에서는 감염되지 않으며 KRIZED.TT6 파일이 생성되지만, 재 부팅하면 자동 삭제된다.

운영체계	파일 포맷	감염 여부	피해 여부
윈도우 9x	FAT32	감염됨	BIOS와 하드 디스크 데이터 손상될 수 있으며, 네트워크를 통해 서버나 다른 컴퓨터의 파일을 손상시킬 수 있음
윈도우 Me	FAT 32	감염되지 않음	피해 없음
윈도우 NT	FAT 16	감염됨	OS가 손상돼 부팅이 안 될 수 있음
NTFS		감염되지 않음	부팅이 반복되나 파일 손상 없음
윈도우 2000	FAT 16 FAT 32 NTFS	감염되지 않음	피해 없음