> 뉴스 > 테크가이드 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[바이러스] HTML/Reality.Kr
2002년 10월 29일 00:00:00 안철수연구소
  • 감염시 위험도 : 5등급(주의)
  • 유형 : 스크립트
  • 최초발견일 : 2001-07-06
  • 국내발견일 : 2001-07-06
  • 특정활동일 : 매달 5, 15, 30일
  • 제작국 : 한국
  • 증상 : * 매달 5, 15, 30일 윈도우 사용자 정보와 익스플로러 초기 페이지를 변경한다.

    HTML/Reality.Kr 은 VBS_Reality(McAfee), VBS.Voodoo.b (Kasperskylabs)로 불리는 스크립트 바이러스로 국내에서는 2001년 7월 처음 국내에서 만든 변종이 발견되었다.

    파일을 처음 실행 하게 되면 Active X 창이 뜨게 되며 사용자가 "예" 을 눌르면 스크립트 바이러스가 실행된다.



    실행될때 레지스트리의 다음의 값을 수정 하게되는데

    HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
    1201 = 0
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Internet Settings\Zones\0
    1201 = 0

    위의 항목이 0 으로 수정되면 (일반 사용자의 경우 1로 되어 있음) Activex X 의 경고창이 뜨지 않게 되기 때문에 사용자는 스크립트 바이러스가 실행되는지 알수없게된다. 또한 Active X 가 사용자 동의 없이 실행되기 때문에 기타 다른 문제가 발생할 수 도 있다.

    파일을 실행 하게 되면 현재 폴더와 특정 폴더에서 확장자가 htt, htm, html, asp인 파일을 검색해서 감염 시키게 된다. 감염되는 파일은 파일 선두에 라는 항목이 들어 가게 되며 한번 감염된 파일은 다시 감염되지 않는다.
    감염되는 특정 폴더는 다음과 같다.

    C:\My Documents
    C:\Windows\바탕 화면
    C:\Windows\Desktop
    C:\Windows\Web
    C:\Windows\Web\Wallpaper
    C:\Windows\Help
    C:\Windows\Temp
    C:\Program Files\Internet Explorer\Connection Wizard
    C:\Program Files\Microsoft Office\Office\Headers
    C:\Inetpub\wwwroot

    실행시 1/2 확률로 윈도우시스템 폴더(일반적으로 C:\WINDOWS\SYSTEM)에 system.dll 파일을 생성하고 WinStart.bat 파일을 부팅시 도스용 바이러스가 실행되도록 수정하게 된다. 그리고 재부팅시 C:\ 와 C:\WINDOWS\COMMAND 폴더에 Command32.COM 파일을 생성 하게 되는데 이 파일의 경우 도스용 바이러스 파일로 윈도우 부팅시 마다 실행이 되게 된다. 하지만 이 파일의 버그로 인해 생성되지 않으며 생성되도 실행되지 않는다.



    또한 스크립트 바이러스가 실행된후, 그날의 날짜가 5, 15, 30일 인 경우 레지스트리 다음의 값을 수정 하게 된다.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion 항목에서

    ProductName = Windogs Fuck!
    RegisteredOwner = Kil13r
    RegisteredOrganization = in Korea, DLSoft



    그리고 인터넷 익스플로러의 시작 페이지를 수정 한다.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main 항목에서
    Start Page = http://fxxk-jxxxn.com



    * V3 제품군 사용자

    1. V3를 최신엔진으로 업데이트한 후 검사하여 HTML/Reality.Kr이라고 진단되는 바이러스는 모두 치료한다.

    2. 레지스트리 편집기를 실행하여 윈도우 사용자 정보를 변경하고 인터넷 익스플로러 초기 페이지도 수정해준다.

    * V3 제품군 미사용자

    1. 확인되지 않은 Active X 는 실행시키지 않는다.

    2. 다음의 폴더에서 확장자가 htt, htm, html, asp 파일을 찾아 텍스트 편집기등으로 오픈을 한 뒤 (i--Thrower--) 라인부터 (/body)(/html) 까지 삭제후 저장한다.

    C:\My Documents
    C:\Windows\바탕 화면
    C:\Windows\Desktop
    C:\Windows\Web
    C:\Windows\Web\Wallpaper
    C:\Windows\Help
    C:\Windows\Temp
    C:\Program Files\Internet Explorer\Connection Wizard
    C:\Program Files\Microsoft Office\Office\Headers
    C:\Inetpub\wwwroot (이 폴더는 윈도우를 이용하여 웹 서버를 운영하는 시스템에만 존재한다.)

    3. 레지스트리 편집기를 실행하여 다음의 값을 수정해준다.

    HKEY_CURRENT_USER\
    Software\
    Microsoft\
    Windows\
    CurrentVersion\
    Internet Settings\
    Zones\
    0
    1201 = 0 -> 1로 수정한다.


    HKEY_LOCAL_MACHINE\
    Software\
    Microsoft\
    Windows\
    CurrentVersion\
    Internet Settings\
    Zones\
    0
    1201 = 0 -> 1로 수정한다.


    참고사항

    바이러스가 메일로 퍼지는 감염증상은 없지만 윈도우에서 웹서버를 운영하는 사용자들의 사이트 HTML 파일을 전부 감염 시키기 때문에 윈도우에서 웹서버를 운영하는 사용자들은 주위를 해야 한다.

  • ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

         

    인기기사

     
    가장 많이 본 기사
    인사·동정·부음
    전체기사의견(0)  
     
       * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
       * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
    전체기사의견(0)
    사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
    등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
    발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
    Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr