사기성 컴퓨터 바이러스 주의!!!

백신을 가장한 바이러스 주의하세요.!!!

1. 최근 국내 유명 컴퓨터 바이러스 백신 업체를 가장한 바이러스가 활동을 하고 있어각별한 주의가 요구되고 있습니다.

V3라며 트로이목마 파일이 메일로 발송되고 있는 것입니다.

'일지넷에서 안철수바이러스 무료 업데이트를!!'이라는 제목으로 메일을 받은 사용자가 첨부 파일 v3update.com을 실행했다가 하드 디스크가 포맷되는 경구가 발생했습니다.

발신처로 되어 있는 일지넷 쪽에서는 이러한 메일을 발송한 적이 없다고 설명합니다.

통신망 공개자료실에 V3를 가장한 악성 플그램이 올려지는 경우는 종종 있지만 이렇게 메일로 발송돼 사용자가 직접 받게 되는 경우는 처음입니다.

안철수연구소측은 현재 경찰청 사이버 수사대에서 수사를 진행 중이라고 합니다.

사용자가 받은 메일 내용은 아래와 같습니다.

일지넷에서 안철수바이러스 무료 업데이트를!!
안녕하세요? ***님.
일지넷에서 두번째 이벤트를 준비했습니다.
바로 국내 최고의 바이러스백신인 안철수V3백신 최신버전으로 무료 업데이트!!!
요즘 악성 컴퓨터 바이러스가 많이 돌고 있습니다.
갑자기 컴이 느려졌다던가 윈도우 오류가 많이 나타나면 바이러스에 걸렸을 확률이 높습니다.
첨부파일을 클릭하시면 자동으로 설치 및 업데이트 됩니다.
문의 및 기타 자세한 사항은 일지넷 게시판을 참고하세요.
-일지넷 웹지기-

2. 특정일 활동 바이러스 경고

12월 10일 : VCL.554, Sunday, Korean_Sunday, Frodo, Oxana,
Great_Dipper, NRLG.1000
12월 11일 : Fish_Boot, VCL.554, Frodo, Oxana, No_Import_Rice,
Great_Dipper,NRLG.1000
12월 12일 : VCL.554, XTAC, Frodo, Oxana, Great_Dipper, NRLG.1000
12월 13일 : IVP.928, IVP.944, VCL.554, XTAC, Frodo, Oxana,
Great_Dipper,NRLG.1000
12월 14일 : Jerusalem.EOS, VCL.554, XTAC, Frodo, Oxana, Great_Dipper,
NRLG.1000
12월 15일 : Roet.1899, VCL.554, XTAC, Jerusalem.Payday, Zerotime,
Coffeeshop Frodo, Oxana, MacGyver, Great_Dipper, NRLG.1000
12월 16일 : Roet.1899, Sonic, Clipper, Beethoven, VCL.554, XTAC,
Bbodong, Frodo,Oxana Great_Dipper, NRLG.1000

3. Roet.1899

한국에서 제작된 것으로 추정되는 상주형 바이러스입니다. 감염 뒤 실행되는 COM, EXE 파일을 감염시킵니다.

읽기전용 속성이 있는 파일은 감염 뒤 읽기전용 속성이 해제되며, 감염된 파일의 크기는 1899byte 늘어나지만 파일의 작성 날짜는 변경되지 않습니다.
감염 뒤 특징적인 증상은 감염 파일이 매년 12월 15일 - 31일 실행될 경우 화면에 TXT 그림이 출력되며, "삑"소리를 255번 낸 뒤 하드 디스크의 데이터를 파괴하고 해당 프로그램을 실행합니다.

특이한 점은 파일 바이러스임에도 불구하고 도스 메모리를 2KB 줄여 상주하게 한다는 것입니다.

화면에 출력되는 문자열의 일부는 다음과 같습니다.

"ROETVIRUS_E5IB INFECTION PC DeStruCTion
aFTeR 255 bEEpsTry aGAin NexT YEar !!M!!"

3. 신종 바이러스 정보

(1) W97M/Titch

종류 : 매크로 바이러스
제작지 : 외국
국내 발견일 : 2000-11-29

W97M/Titch 바이러스는 W97M.Titch.A, Macro.Word97.Titch, W97m/Titch.a.gen,W97M_TITCH, Word97Macro/Titch.A 등으로 불리는 매크로 바이러스로, 1999년 10월 발견됐으며 국내에서는 2000년 11월 29일 발견됐습니다.

감염된 문서를 열면 바이러스가 포함된 매크로가 실행되고 이후 사용하는
문서를 감염시킵니다. 사용자 서식 폴더의 NORMAL.DOT 파일에 바이러스 매크로가 저장됩니다.

워드는 실행될때 마다 사용자 서식 폴더의 모든 워드 문서에서 매크로를 읽어오므로 이후 워드를 실행할때 마다 바이러스 매크로도 함께 실행됩니다.

오피스 97과 2000에선 매크로 바이러스 예방 목적으로 매크로가 포함된 문서를 열때 사용자에게 경고하는 기능이 있습니다.

이 바이러스에 감염되면 이 경고 기능을 꺼 이후 매크로가 포함된 문서를 열때 경고창이 뜨지 않아 사용자가 바이러스 감염 사실을 어렵게 합니다. 단, 오피스 2000은 영향을 받지 않습니다.

* 매크로 경고 기능 설정 방법

Word 97 : "도구(T)" -> "옵션(O)" -> "일반" -> "매크로 바이러스 보호 (P)" 설정
Word 2000 : "도구(T)" -> "매크로(M)" -> "보안" -> "보통" 으로 설정

사용자가 매크로를 전혀 사용하지 않는다면 오피스 2000에선 '높음'으로 설정하면됩니다.

다음과 같은 문자열을 포함하고 있지만 화면에 출력하지는 않습니다.

'Titch
'An experiment in Macro programming ;)
'Minimum stealth, no encryption, No payload, No mail replication
'If you had looked you could have found and deleted it but..
'You probably never knew it was here!

겨울만 되면 불조심이라는 말을 자주하는데 컴퓨터 사용자는 1년 12달 365일바이러스를 주의해야 할 것입니다. 발송한 적이 없다고 설명합니다.

통신망 공개자료실에 V3를 가장한 악성 플그램이 올려지는 경우는 종종 있지만 이렇게 메일로 발송돼 사용자가 직접 받게 되는 경우는 처음입니다.

안철수연구소측은 현재 경찰청 사이버 수사대에서 수사를 진행 중이라고 합니다.

사용자가 받은 메일 내용은 아래와 같습니다.

일지넷에서 안철수바이러스 무료 업데이트를!!
안녕하세요? ***님.
일지넷에서 두번째 이벤트를 준비했습니다.
바로 국내 최고의 바이러스백신인 안철수V3백신 최신버전으로 무료 업데이트!!!
요즘 악성 컴퓨터 바이러스가 많이 돌고 있습니다.
갑자기 컴이 느려졌다던가 윈도우 오류가 많이 나타나면 바이러스에