제목 : [주의] W32.Shatrix @ mm
분류 : [Adv] A3 Security Advisory
1. 설명
월 4일 외국에서 발견되어 현재 국내에서도 보고되고 있는 바이러스 W32.Shatrix@mm 은 윈도우 화면이 흔들리며 파일을 삭제하는 증상을 가지고 있다. ‘FW:Shake a little’라는 제목으로 ‘shake.exe’ 파일을 첨부하여 메일을 전송한다. 보다 구체적으로 마이크로 소프트 아웃룩 주소록에 있는 모두에게 다음과 같은 형태의 메일을 보낸다.
제 목 : FW:Shake a little
본 문 : Hi!
This will shake your world :-)
Regards,
첨 부 : shake.exe
일단 이 파일에 감염이 되면 시스템 폴더에 8개의 문자로 된 임의 이름의 파일을 생성하며 윈도우 시작시 자동 실행되도록 다음과 같은 레지스트리를 생성한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 에
이름 : SystemInfoM 또는 SystemInfoM
데이터 : c:\WINDOWS\system\(랜덤한 이름으로 복사된 웜 파일명).EXE
그리하여 C:\INETPUB\WWWROOT\ 폴더안의 .ASP,.HTM,.HTML 파일을 파괴하고 EXE파일을 삭제하며 C 드라이브 루트에 MatriX[숫자]로 이뤄진 폴더가 생성되기도 한다.
웜이 실행되면 윈도우 화면이 흔들리는 증상이 나타난다.
2. 해결책
메일 수신시 출처 및 용도가 불분명한 메일은 바로 삭제하고 특히 ‘FW:Shake a little’라는 제목으로 ‘shake.exe’ 파일이 첨부되어 온 메일은 바로 삭제한다.
이미 실행한 경우 웜에 의해 생성된 파일과 레지스트리를 삭제해야하는데 임의의 이름으로 생성되기 때문에 찾기가 어렵다. C 드라이브 루트에 MatriX[숫자]로 이뤄진 폴더를 삭제한다. 최신 백신을 이용하여 검사하고 치료한다.
