> 뉴스 > 테크가이드 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[바이러스] 윈에바 바이러스 주의보
2002년 11월 25일 00:00:00 안철수연구소
[바이러스] Win32/Winevar.worm

- 다른 이름 Win32.HLLM.Seoul, I-Worm.Win32.Winevar
- 감염시 위험도 : 1등급(파괴)
- 확산 위험도 : 2등급
- 종류 : 웜
- 감염 OS : 윈도우
- 감염 경로 : 메일
- 최초 발견일 : 2002-11-22
- 특정 활동일 : 특정일 활동 없음


1. 증상 - 메시지 출력 후 파일을 삭제한다.


2. 내용

Win32/Winevar.worm 은 2002년 11월 22일 저녁부터 퍼진것으로 보인다. 이 정보를 작성하는 2002년 11월 23일 현재 안철수연구소는 고객으로 부터 여러 건의 감염 보고를 받았다.

- 전파되는 메일양식

이 웜은 메일을 통해 전파된다.

제목 : N'4[특수문자][컴퓨터이름] 혹은 AVAR 관련 제목
첨부파일 : 임의의 이름을 가진 PIF 와 CEO 확장자 파일

HTML 형식의 내용을 포함하고 있으며 HTML 본문은 보안허점을 이용하기도 하여, 패치안된 시스템에서는 웜이 자동으로 실행되게 하기도 한다.

이 웜이 이용하는 보안상 허점은 다음의 두가지 중 하나다.

- "Microsoft VM ActiveX Component"
- "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment"


- 실행후 증상

웜이 실행되면 시스템 폴더 ( 일반적으로 C:\Windows\System )에 WIN으로 시작하는 파일이 생성된다.( 예 : WIN5063.PIF, Win5063.tmp, WINE2D4.TMP 등 )

확장자가 PIF 인 파일은 웜 파일이고 확장자가 TMP 파일은 특정 웹사이트의 내용이 저장되었거나 문자열이 조금 변형된 Win32/FunLove.4099 바이러스 가 포함되었을 수 있다.

- WINxxxx.PIF ( 대략 91,085 바이트, 탐색기로 보면 89 KB ) : 웜 파일
- WINxxxx.TMP : 특정 웹사이트 내용
- WINxxxx.TMP ( 4,592 바이트 ) : 변형된 Win32/FunLove.4099 바이러스

* WINxxxx.PIF 의 경우 감염될 때마다 크기가 조금씩 증가하므로, 약간씩 파일크기의 차이가 있을 수 있다.



다음 레지스트리의 내용을 변경해 윈도우가 시작될 때 자동실행되게한다.

HKEY_LOCAL_MACHINE    Software        Microsoft            Windows                CurrentVersion                    Run 의 Default 항목에 처음 실행된 웜 파일명 추가

HKEY_LOCAL_MACHINE    Software        Microsoft            Windows                CurrentVersion                    Run 에 WINxxxx 항목 생성(xxxx는 랜덤하게 생성)



등록되는 파일은 실행 파일명과 윈도우 시스템 폴더에 생성된 파일명입니다.

특징적으로 "~AAVER 2002 in Seoul~" 혹은 "~AAVAR 2002 in Seoul~"이란 문자열을 포함하고 있다.
단, AVAR는 Association of anti Virus Asia Researchers의 약자로 컴퓨터바이러스를 연구하는 연구모임으로, 이 웜과 관련이 없다.

대다수의 백신 프로그램에서 변형된 Win32/FunLove.4099 바이러스를 진단할 수 있다.

특징적인 증상으로 다음과 같은 메시지창을 출력하며, '확인'버튼을 클릭할 경우 파일을 삭제한다.

"Make a fool of oneself
What a foolish thing you have done!"



또한 일부 보안 프로그램( 백신, 파이어월 ), 모니터링 프로그램, 디버그 등의 프로그램 프로세스가 실행중이면 중단시킨다. 이 과정에서 시스템이 불안정하여 다운되는 증상을 나타낼 수 있다.


* 이 정보는 2002년 11월 23일 12시에 최초 작성되었고, 2002년 11월 23일 17시 30분에 최종 수정되었다.



3. 치료방법

1. 다음 메세지가 출력되면 확인 버튼을 클릭하지 마시고, 컴퓨터를 그 상태에서 리부팅한 후 밑에 있는 치료 절차를 거쳐야 합니다.

Make a fool of oneself
What a foolish thing you have done!



메일이 자동 실행되면서 바이러스가 감염된 것 같다고 의심 될 때 밑에 있는 치료 절차를 거쳐야 합니다.

2. 웜이 이용하는 윈도우의 헛점

- "Microsoft VM ActiveX Component"
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-075.asp)
- "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment"
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp)

위에 있는 헛점를 예방하는 차원에서 다음을 사이트에 연결 한 후 보안패치를 반드시 실시합니다.
http://v4.windowsupdate.microsoft.com/ko/default.asp


3. 다음 사이트에 연결해서 전용 백신을 받은 후 치료를 실시합니다.
http://home.ahnlab.com/download/vaccine_view.jsp?num=34&pagecnt=1

- 2002년 11월 23일자 긴급엔진으로 진단/치료(삭제) 가능하다.
- 반드시 V3제품의 환경설정에서 [시스템감시],[인터넷감시],[수동검사]의 검사파일형식을 '모든파일'로 설정하고 사용하기를 권장한다.
- 일부 실행중인 보안프로그램의 프로세스를 종료하는 이 웜의 특징으로 인하여 V3 가 종료되는 현상이 발생할 경우에는 Win32/Winevar.worm 전용백신을 이용하기 바란다.
- 만약, 해당 웜이 실행되어 위의 메시자창의 출력되었을 경우에는 절대로 '확인'버튼을 클릭하지 말고, 전용백신을 이용하여 웜을 먼저 치료하도록 한다.


4. 참고사항

* 2002년 11월 23일 17시를 기해 Win32/Winevar.worm.91085 에서 Win32/Winevar.worm 으로 명칭이 변경되었다.
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr