고객지원2002-11-27조회수 50494

Win32/Winevar.worm의 특징, 예방, 치료방법

지난 11월 23일 오전부터 확산된 Win32/Winevar.worm이 기업체를 중심으로 지속적으로 확산되고 있어 고객님의 각별한 주의를 부탁드립니다. 특히, 이 웜에 감염될 경우 C 드라이브의 파일을 삭제하는 증상이 있어 그 피해는 더욱 심각합니다.

이 웜에 의한 피해를 최소화할 수 있도록 아래에 설명해 드리는 특징, 예방법, 치료법에 주의를 기울여 주시기 바랍니다.

1. Win32/Winevar.worm 특징
2. Win32/Winevar.worm 예방법
3. Win32/Winevar.worm 치료 및 파일복구 방법

1. Win32/Winevar.worm 특징

(1) 전파방법

이 웜은 메일을 통해 확산되며, 전파되는 메일양식은 다음과 같습니다.

제목 : N'4[특수문자][컴퓨터이름] 혹은 AVAR(Association of Anti-Virus Asia Reseachers)
첨부파일 : 임의의 이름을 가진 PIF 와 CEO 확장자 파일

메일에는 HTML 형식의내용을 포함하고 있으며 이는 메일의 본문으로 보여지면서 실행되며, 이때 보안패치가 안된 시스템인 경우 첨부된 CEO 확장자 파일이 실행가능하도록 레지스트리에 추가하고 그 후 자동실행됩니다. 또한 메일을 읽기만 해도 첨부된 파일이 자동으로 실행되는 보안취약점도 이용합니다.

웜은 로컬 드라이브에 존재하는 *.htm, *.dbx 파일에서 메일주소를 가져와, 레지스트리에 설정된 SMTP 주소를 이용하여 메일을 발송합니다. 이때, 메일의 송신자와 수신자를 속여서 보내므로, 메일에 기록된 송수신자의 정보만으로는 실제 발송자를 알 수가 없습니다.

(2) 실행후 증상

- Win32/FunLove.4099 감염

이 웜은 이미 널리 알려진 Win32/FunLove.4099 바이러스를 포함하고 있어, 이 웜에 감염되면 Win32/FunLove.4099 도 함께 감염됩니다. Win32/FunLove.4099 는 네트워크에 '쓰기'권한으로 공유된 폴더를 통해 다시 확산되므로, 네트워크에 '쓰기'권한으로 공유해서 사용하는 기업환경의 경우 네트워크 부하 등을 일으킬 수 있습니다.

- 특정 메시지 출력 후, 파일 삭제

이 웜에 감염되면 아래와 같은 메시지창을 출력하고, 이 창에서 '확인'버튼을 클릭하면 C드라이브의 모든 파일을 삭제합니다(단, 현재실행중인 파일과 읽기속성 파일은 제외).

따라서, 위 메시지창이 출력되었을 경우에는 절대 '확인'버튼을 클릭하지 말고 최신엔진의 V3 제품이나 전용백신을 이용하여 치료하셔야 파일삭제로 인한 피해를 막을 수 있습니다.

- 일부 보안프로그램 프로세스 중단

또한 일부 보안 프로그램( 백신, 파이어월 ), 모니터링 프로그램, 디버그 등의 프로그램 프로세스가 실행중이면, 이 프로세스를 강제종료하며, 이 과정에서 시스템이 불안정하여 다운되는 증상을 나타낼 수도 있습니다.

[홈페이지의 Win32/Winevar.worm 정보로 바로가기]

2. Win32/Winevar.worm 예방법

(1) 최신엔진 사용 및 V3 의 시스템감시 실행

이 웜에 대한 진단기능은 이미 11월 23일자 긴급엔진에 추가되어 있습니다. 따라서, 다음과 같이 설정하시고 시스템을 사용하시면 이 웜이 실행되어 감염되는 것을 예방할 수 있습니다.

  - V3 제품을 최신엔진으로 업데이트(현재 2002년 11월 27일자)
  - V3 의 환경설정에서 [시스템감시], [인터넷감시], [수동검사]메뉴에서 '검사파일형식'을
    반드시 '모든파일'로 체크하고 사용
  - V3 의 시스템감시를 반드시 실행한 상태에서 시스템 사용

(2) 관련 보안패치 적용

응용프로그램의 보안취약점을 이용하여 첨부된 파일이 자동 실행되므로, 보안패치를 적용하지 않은 시스템은 아래의 사이트를 참고하여 보안패치를 반드시 적용합니다.

  - "Microsoft VM ActiveX Component"
  - "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment"

위 패치는 윈도우의 [시작]-[Windows Update]메뉴를 통해 적용하실 수 있습니다.

3. Win32/Winevar.worm 치료 및 파일복구 방법

(1) V3를 이용한 치료방법

  - V3 제품을 최신엔진으로 업데이트한 후, [환경설정]-[수동검사]메뉴에서 '검사파일형식'을 '모든파일'로 체크하고 시스템을 검사하여 진단되는 파일을 치료(삭제)하시면 됩니다.

(2) 전용백신을 이용한 치료방법

일부 실행중인 보안프로그램의 프로세스를 종료하는 이 웜의 특징으로 인하여 V3 가 종료되는 현상이 발생할 수 있으므로, 이 경우에는 Win32/Winevar.worm 전용백신을 이용하여 치료하시기 바랍니다.

전용백신은 Win32/Winevar.worm 에 대한 예방기능은 제공하지 않고 치료기능만 제공합니다.
따라서, 이 웜에 감염되었다고 판단되었을 경우에만 이용하시기 바랍니다.

  - 안철수연구소 홈페이지 - [다운로드] - [전용백신 다운로드]메뉴에서 Win32/Winevar.worm 전용백신을 다운로드하여 시스템을 검사하여 진단되는 파일을 치료(삭제)합니다.

(3) 파일복구 방법

이 웜에 의해서 삭제된 파일은 V3 제품으로는 복구하실 수 없으며, 전문 데이터 복구 프로그램이나 데이터 복구 전문업체에 의뢰하셔야 합니다. 단, 복구 프로그램을 이용하거나 복구 전문업체로 의뢰하실 때는 파일이 삭제된 상태에서 추가작업이 없는 상태여야 복구율이 높습니다.

  - 전문 데이터 복구 프로그램 "파이널데이터" 구매하기
  - 전문 데이터 복구 전문업체 (주)명정보기술 홈페이지로 바로가기
- 전문 데이터 복구 전문업체 (주)파이널데이터 홈페이지로 바로가기

삭제된 데이터가 백업되어 있거나, 중요하지 않을 경우에는 시스템을 다시 포맷하고 사용하셔도 무방합니다.