[긴급 업데이트 - 2000년 12월 23일]
크리스마스 바이러스인 Win32/Kriz의 변형 Win32/Kriz.3505가 오늘 처음 신고되어 긴급 업데이트를 하게 되었습니다.
Win32/Kriz.3505는 원형이 12월 25일에 활동하는 것과 달리 다음날인 12월 26일에 파괴활동을 일으킵니다. 따라서 지금 바로 12월 23일자 최신 엔진으로 업데이트하신 후 하드 디스크를 검사해 주시기 바랍니다.
Win32/Kriz.3505의 치료방법 및 예방법은 연구소 홈페이지에 자세히 안내되어 있습니다.(바로 가기)
Win32/Kriz.3505의 자세한 정보는 아래를 참고해 주십시오.
*
이름 : Win32/Kriz.3505
*
종류 : 윈도우 바이러스
*
위험도 : 1등급
* 제작지 :
한국
* 국내발견일 : 2000년
12월 22일
* 진단, 치료 :
Y
* 백신버전 : 2000년 12월
23일
* 특정일 활동 : 매년
12월 26일
<감염
후 증상 >
윈도우
시스템 폴더 (일반적으로 C:\Windows\System)에
KRIZED.SYS 파일이 생성됩니다.
특징적인 증상은 매년 12월
26일 발생합니다.(매년
12월 26일 감염된 파일이 실행되면
하드 디스크 내용을파괴하고 CMOS
데이터와 플래시 롬의 내용을
파괴합니다.)
<
상세 정보 >
Win32/Kriz.3505
바이러스는 Win32/Kriz 바이러스의
변형으로 국내에서 제작된 것으로
추정되는 파일 바이러스로 PE형(Portable
Executable, Windows 95/98 실행파일)
EXE 파일을 감염시킵니다.
Win32/Kriz
바이러스의 다른 변형은 감염된
파일이 실행되면 윈도우 시스템
폴더(일반적으로 C:\Windows\System)에
KRIZED.TT6 파일을 생성하지만
Win32/Kriz.3505는 KRIZED.SYS
파일을 생성합니다. 이 파일은
KERNEL32.DLL 파일에 바이러스가
감염된 것으로 다음번 부팅 때
바이러스에 감염된 KRIZED.SYS
파일이 KERNEL32.DLL 파일로 대체
되면서 바이러스는 시스템 권한을
가지게 됩니다.
파일복사,
파일생성, 파일삭제, 파일속성
얻기/변경, 파일 이동시 확장자가
EXE,SCR 인 파일을 감염시킵니다.
단,
아래의 파일은 감염 대상에서
제외됩니다.
_AVP32.EXE,
_AVPCC.EXE, _AVPM.EXE, ALERTSVC.EXE,
AMON.EXE, AVP32.EXE, AVPCC.EXE,
AVPM.EXE, N32SCANW.EXE, NAVAPSVC.EXE,
NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE,
NAW32.EXE, NAVWNT.EXE, NOD32.EXE,
NPSSVC.EXE, NRESQ32.EXE, NSHED32.EXE,
NSCHEDNT.EXE, NSPLUGIN.EXE,
SCAN.EXE, SMSS.EXE
다형성
바이러스로 감염될 때 마다 다른
암호화를 사용하는 특징을 가지고
있습니다.
특징적인
증상은 매년 12월 26일 감염된
파일이 실행되면 하드 디스크
내용을 파괴하고 CMOS 데이터와
플래시 롬의 내용을 파괴합니다.
암호를 풀면 다음과 같은 문자열이
존재합니다. 단, 화면에 출력되지는
않습니다.
"T-2000
/ Immortal Riot"
"HAPPY
NEW YEAR OH MY COMPUTER"
PC
보안에서 인터넷 보안까지 안철수연구소가
함께 합니다.
-
E - Mail :
customer@ahnlab.com
-
URL : https://www.ahnlab.com
-
고객지원센터 : (02)558-7400
- 바이러스신고센터
: (02)558-7566
-
팩스: (02)558-7567