Home

2024년 09월 18일
예수프론트라인

예수칼럼:현대적 고전으로 읽히는 최장기 베스트 셀러!
4영리에 대하여 들어보셨습니까?
양치는소리:인터넷 선교원 후원이사 목사님들의 글모음
비전이야기:우리들의 이야기, 독자들로 부터의 글모음
선교마당:선교사로부터의 편지, 선교지소개 등 선교에 관한 글모음

각종 자료 연결
영원한 명시
박광택코너

교회-단체연결

Vision2000

김준곤 예화모음

박성민의 성서보기

경제전망대

천일웅 변호사 이민법 칼럼

인터넷이모저모




동아일보
전자신문
조선일보
중앙일보
미주중앙일보
한국일보
미주한국일보
한겨레신문
라디오서울USA
The New York Times



  • 긴급경보! 이 주의 바이러스 (5월 20일 ∼ 5월 26일)

    김선영 기자 (ZDNet Korea) 2001/05/18 특정일 활동 바이러스 경고 5월 20일 : NRLG.1027, IVP.790, VCL.554, XTAC, Sunday, Korean_Sunday, Great_Dipper, VBS/Baracuda.B 5월 21일 : Fish_Boot, VCL.554, XTAC, No_Import_Rice, W97M/Surround, W97M/Surround.B 5월 22일 : Bye, VCL.554, XTAC 5월 23일 : Bye, VCL.554, XTAC, VBS/San, VBS/Valentin 5월 24일 : Pox.955, Pox.Kr.653, Form, VCL.554, XTAC, 5월 25일 : NRLG.681, Pox.Kr.736, Pox.Kr.633, Pox.Kr.709, Pox.Kr.978, Pox.Kr.1016, Pox.Kr.1026, Pox.Kr.1159, Rosebud, VCL.554, XTAC, Jerusalem.Payday, Zerotime, Coffeeshop, MacGyver, Skism.808, X97M/HJB.I, X97M/HJB.M 5월 26일 : Bye, Win95/CIH.1019, Sonic, Beethoven, VCL.554, XTAC, Bbodong, WIN95/CIH.1019, WIN95/CIH.1035

    ① VBS/Baracuda.B 종류 : 스크립트 위험도 : 2등급(위험) 특정일 활동 : 매달 5일, 10일, 15일, 20일

    사용자가 스크립트 파일을 실행하면 윈도우 폴더(일반적으로 C:\Windows)에 NetIce.vbs을, 윈도우 하위 Command 폴더(일반적으로 C:\Windows\Command)에 IceNet.vbs 파일을 생성한다.

    윈도우 폴더에 microsoft.vbs 파일도 생성하는데 이 스크립트는 웜 스크립트의 삭제 유무를 검사해 삭제되면 다시 생성하는 역할을 한다.

    mIRC(인터넷 채팅 프로그램)로 IRC(Internet Relay Chat. 인터넷을 통해 구축된 대화방) 채팅을 할 경우 IceNet.vbs 파일을 퍼뜨린다. 아웃룩을 주소록의 사람들에게 6가지 제목과 내용 중 하나를 선택해 메일을 보낸다. 단, 첨부 파일은 항상 IceNet.vbs( 5252 바이트)이다.

    ② W97M/Surround 종류 : 매크로 바이러스 위험도 : 2등급(위험) 제작지 : 외국 국내 발견일 : 2000년 10월 20일 특정일 활동 : 매년 12월 29일, 매달 21일

    감염된 문서를 열면 바이러스가 포함된 매크로가 실행되고 이후 사용하는 워드 문서를 감염시킨다.

    사용자 서식 폴더의 NORMAL.DOT에 바이러스 매크로가 저장된다. 특징적인 증상은 매년 12월 29일 윈도우 폴더 (C:\WIN으로 시작하는 폴더)에서 WIN.COM 파일을 삭제하고 "You are now Surrounded!!", "Virus information"를 출력하는 것과 매년 21일이면 '삑' 소리를 내는 것이다.

    이 바이러스는 소스코드를 C 드라이브 루트에 SURROUND.KEY로 저장하는데 이들 파일을 V3는 TextImage/Surround로 진단, 삭제한다.

    ③ X97M/HJB.I 종류 : 매크로 바이러스 위험도 : 3등급(위해) 제작지 : 한국 국내 발견일 : 2000년 12월 19일 특정일 활동 : 매달 25일

    X97M/HJB 바이러스의 변형으로서 원형이 HJB.XLS 파일을 생성하지만 이 변형은 HD.XLS 파일을 생성한다.

    감염된 문서를 열면 바이러스가 포함된 매크로가 실행되고 이후 사용하는 문서를 감염시킨다.

    사용자 서식 폴더의 HD.XLS 파일에 바이러스 매크로가 저장된다. (일반적으로 엑셀 97은 "C:\Program Files\Microsoft Office\Office\XLstart" 폴더 엑셀 2000은 "C:\Windows\Application Data\Microsoft\Excel\XLSTART" 폴더 )

    엑셀은 실행될 때마다 사용자 서식 폴더의 모든 엑셀 문서에서 매크로를 읽어오므로 이후 엑셀을 실행할 때마다 바이러스 매크로도 함께 실행된다.

    신종 바이러스 정보

    ①VBS/Hard 종류 : 스크립트 위험도 : 3등급(위해) 제작지 : 불분명 국내 발견일 : X 특정일 활동 : 매년 11월 24일

    이 웜은 시만텍의 바이러스 경고인 것으로 위장하고 있다.

    제목은 'FW: Symantec Anti-Virus Warning'이며, 내용은 'Hello, There is a new worm on the Net. This worm is very fast-spreading and very dangerous! Symantec has first noticed it on April 04, 2001. The attached file is a description of the worm and how it replicates itself. With regards, F. Jones Symantec senior developer'이다. 첨부파일은 'www.symantec.com.vbs'로 보통 23268 바이트다.

    ② VBS/Haptime 종류 : 스크립트 위험도 : 3등급(위해) 제작지 : 중국 국내 발견일 : 2001년 5월 14일 특정일 활동 : 월과 일의 합이 13이 되는 날 (예 5월 8일)

    감염된 스크립트를 실행하면 윈도우 폴더 (일반적으로 C:\WINDOWS)에 HELP.HTM 파일과 UNTITLED.HTM 파일을 생성하며 이후 실행하는 ASP, HTM, HTML, HTT, VBS 파일에 스크립트를 자동으로 추가한다.

    레지스트리에 다음의 항목을 추가한 후 HKEY_CURRENT_USER\Software\Help Count="숫자" Count를 계속 증가시키며 Count가 366 이상이 되면, EXE 파일과 DLL 파일을 하나하나 삭제한다.

    그리고 날짜와 일을 더한 값이 13인 경우 모든 EXE 파일과 DLL 파일을 하드 디스크와 네트워크 드라이브에서 삭제한다.

    ③ HTML/Sadmind 종류 : 스크립트 위험도 : 5등급(주의) 제작지 : 중국 국내 발견일 : 2001년 5월 8일 특정일 활동 : X

    Solaris/Sadmind.worm은 솔라리스의 보안성 취약점을 이용해 퍼지는 인터넷 웜으로, 이 웜은 패치가 안 된 윈도우 NT 혹은 2000 서버를 찾아 index.asp, index.htm, default.asp, default.htm 등의 파일을 복사한다.

    이들 파일은 바이러스나 웜이 아니므로 스스로 다른 컴퓨터로 전파되지는 않는다. 하지만, 이들 파일이 발견된 NT/2000 서버는 보안상 취약점을 가지므로 다른 해커의 공격을 받을 수 있다.

    index.htm 파일에는 'F**k USA Government, f**k PoizonBOx, contact:sysadmcn@yahoo.com.cn' 등의 내용을 담고 있다. 안철수 연구소 제공 @

    - 함성철 -