2090 바이러스(가칭) 백신 소식

피씨용기록/기타無狼
2009. 2. 12. 01:26
 http://www.avast.co.kr/485

2월 첫 주말부터 일명 "2090년 바이러스"라고 하는 신종 악성 코드가 전파되고 있습니다. 2090년 바이러스라고 붙여진 이유는 바로 시스템 날짜를 2090년으로 변경하는 것에 유래한 것입니다. 어베스트!는 이 바이러스를 PureMorph [Cryp]으로 진단하고 있으며, 다양한 변종이 출현하고 있어 사용자의 주의가 필요합니다. 그리고, 이 바이러스의 전체적인 특징과 미연에 방지할 수 있는 방법, 바이러스를 치료한 후에 발생할 수 있는 문제점을 해결하는 방법을 소개합니다.

 

바이러스가 전파되는 가장 주요 원인은 윈도우 업데이트를 충실하게 하지 못하는 경우에 발생합니다. MS08-067 취약점을 이용하고 있으므로 이에 대한 패치를 반드시 해주어야 합니다.

윈도우 업데이트: http://windowsupdate.microsoft.com/

MS08-067 업데이트: http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx

윈도우가 정품이 아닌 경우에는 아래 링크에서 자동 업데이트 프로그램을 다운로드하여 설치하시면 설치하지 못했던 업데이트를 설치할 수 있으며, 앞으로 발표되는 업데이트에도 효과적으로 사용하실 수 있습니다.

http://www.boho.or.kr/pccheck/pcch_05_01.jsp?page_id=5

 

바이러스가 전파되는 경로는 네트워크 드라이브나 USB 메모리와 같은 이동형 매체입니다. 가정에서 사용하시는 분들은 네트워크 드라이브에 거의 영향을 않으므로 이동형 매체의 오토런(AUTO-RUN) 기능을 꺼 주는 것이 가장 효과적입니다.

국가정보원 USB 자동실행 방지 프로그램: http://www.avast.co.kr/406

Flash Drive Disinfector: http://moonslab.com/658

 

컴퓨터에 이미 2090년 바이러스가 감염된 경우에는 어베스트!를 설치하고 검사하여 치료하게 되면 컴퓨터가 정상적으로 부팅되지 않는 경우가 있습니다. 이는 바이러스가 감염하는 동안에 윈도우의 로그인 프로세스(userinit.exe)의 경로를 변경하기 때문입니다.

이러한 경우에는 다음과 같은 방법을 사용하여 수동으로 복구해야 합니다.

수동으로 복구하기 위해서는 다음과 같이 두 가지를 준비해야 합니다.

  • userinit.exe - 감염되지 않은 다른 PC에서 해당 파일을 복사하여 준비합니다. 동일한 운영체제의 파일을 준비해야 합니다. 파일은 플로피 디스켓, CD, USB 메모리 등에 복사해 둡니다.
  • 어베스트! BartCD v3 - 윈도우 비스타 PE로 개발되어 있는 avast! 전용 부팅 시디입니다. 이 프로그램은 유상으로 판매되고 있습니다만, 필요하신 분은 help@avast.co.kr 로 연락 주시면 최신 바이러스데이터베이스로 업데이트된 평가판 시디 이미지를 보내드립니다.

 http://blog.ahnlab.com/ahnlab/544

안철수연구소는 오늘(10일) 밤부터 컴퓨터 윈도 시스템의 날짜를 2090년으로 고정하여, PC사용을 막는 악성코드 일명 '2090 바이러스'(Win32/Aimbot.worm.15872) 전용 백신을 배포하고 있습니다.

2090 바이러스 치료 전용백신인 V3Kill(V3Aimbot.exe)은 안랩의 웹사이트를 통해 무료로 다운로드 받으실 수 있습니다. 이미 감염된 PC의 경우에 전용백신을 다운받아 치료하시면 됩니다.

(기존 V3 사용자(V3 365클리닉, V3 Lite 등)는 이미 몇일전부터 실시간 감시에서 사전에 진단 및 방어를 하기 때문에 크게 걱정하기 않아도 됩니다.)

전용백신 다운로드 사이트 바로가기[클릭]


이 웜에 감염되면 윈도 시스템 날짜가 2090년 1월 1일로 바뀌고, 일부 시스템(서비스팩3)에서는 컴퓨터 로그인과 동시에 로그오프가 되는 현상이 발생합니다. 또한 윈도 시스템 폴더에 랜덤한 7자리 숫자 파일을, Temp 폴더에 랜덤한 5자리 숫자의 sys 파일을 생성하기도 합니다. 감염 후에는 포르노사이트 등 특정 사이트로 접속 후 대기합니다.


사용자 삽입 이미지


이 웜은 윈 도우 서버 서비스 관련 취약점(MS08-067)또는 오래전에 알려진 RPC DCOM (MS03-039) 취약점을 이용하였으며, 스스로 전파하는 기능은 없고 특정 호스트에 접속후 공격자의 명령에 의해서만 취약점을 이용하여 전파 되는 것으로 추정됩니다. USB의 autorun.inf 파일을 이용하기 때문에 만약 감염된 USB를 컴퓨터에 꽂으면 자동으로 감염되기도 합니다. 또한 네트워크로도 확산, 기업·기관 등에 피해가 확산될 우려가 있습니다.

Win32/Aimbot.worm.15872 상세 분석 정보 보기[클릭]

안 철수연구소 시큐리티대응센터(ASEC) 조시행 상무는 "인터넷이나 이메일 상의 파일을 아무 것이나 다운로드하지 말고, 백신을 최신 버전으로 유지해야 한다"며 "윈도 보안 취약점에 대한 패치를 해야 재감염을 방지할 수 있다"고 주의를 당부했습니다.


http://www.virustotal.com/analisis/4701f413ebf4cb7ac46f5d47613afb32

백신 진단 리스트 (업데이트중) 리스트에 항목이 없어 의심스러우신 분들은 다른 백신으로도 체크를 해보시길...

그리고... 오바하는 신문기자들 제발 좀.. 자제 좀...  무슨 미친듯한 바이러스가 온 것 마냥 난리법석을 떨지 말아주길...  애시당초 사용자습관에 더 문제가 많은 거니까..

알약도 이미 패치가 되었다고 하니 업데이트는 필수...  개인적으로 그다지 좋아하지도 않고 쓸 일도 없기에 관심없지만서도...

AVIRA 의 antivir 의 경우엔 아직 정확한 정보를 얻지 못했다.