MS08-067 취약점을 이용한 일명 2090 바이러스입니다.
신종 2090 웜바이러스(Win32/Aimbot.worm.15872)에 감염되면
윈도우 오른쪽 하단에 나오는 PC의 날짜와 시간이 2090년 1월 1일 오전 10시로 고정돼
수정이 불가능해 지는 현상이 발생한다고 합니다.
이 바이러스는 윈도(Windows) 폴더 안의 시스템32(system32) 디렉토리에서
767301.sys 20410.sys 등 파일명이 숫자로만 이루어진 실행 파일들을 무한정 생성해
컴퓨터가 메모리를 소모한 끝에 결국 PC를 다운되도록 만든다고 합니다.
게다가, 2090 바이러스로 인해 만들어진 프로세스들은 수동으로 강제 종료해도
다시 실행되며 다운된 컴퓨터를 재부팅한 후 윈도우의 사용자 계정에 로그온하려 하면
윈도우 로그온과 로그오프가 무한 반복돼 컴퓨터를 사용하지 못하게 한다는 것입니다
2090년 바이러스 증상 (출처 : 알약 공지사항)
1. 2090년 1월 1일 오전 10시로 변경시킵니다.
2. 레지스트리에 자기 자신을 등록해 부팅 후에도
우선순위로 실행하도록 설정합니다.
3. 특정 IRC 서버의 접속을 시도합니다.
4. IRC 명령을 받아 ICMP 공격을 실행합니다.
5. 메모리 리소스를 과도하게 사용하여 시스템 속도 저하 및
다운 현상이 발생합니다.
6. USB 메모리 등에 Autorun.inf 파일등을 생성합니다.
1. 2090년 1월 1일 오전 10시로 변경시킵니다.
2. 레지스트리에 자기 자신을 등록해 부팅 후에도
우선순위로 실행하도록 설정합니다.
3. 특정 IRC 서버의 접속을 시도합니다.
4. IRC 명령을 받아 ICMP 공격을 실행합니다.
5. 메모리 리소스를 과도하게 사용하여 시스템 속도 저하 및
다운 현상이 발생합니다.
6. USB 메모리 등에 Autorun.inf 파일등을 생성합니다.
알약의 공지사항에 알려진 내용 중..
지난 2008년에 발생한 MS08-067 취약점을 이용한 V.WOM.Conficker(Bitdefender
진단명 : Win32.Worm.Downadup.Gen)악성코드가 USB와 네트워크를 통해
다시 점차 확산되고 있습니다.
V.WOM.Conficker 악성코드는 다른 추가적인 악성코드를 다운로드 받아 설치하고
인터넷 속도 저하 혹은 장애 현상을 가져올 수 있으므로 PC 사용자의 예방 조치를
필수적으로 시행해야 합니다.
진단명 : Win32.Worm.Downadup.Gen)악성코드가 USB와 네트워크를 통해
다시 점차 확산되고 있습니다.
V.WOM.Conficker 악성코드는 다른 추가적인 악성코드를 다운로드 받아 설치하고
인터넷 속도 저하 혹은 장애 현상을 가져올 수 있으므로 PC 사용자의 예방 조치를
필수적으로 시행해야 합니다.
아래의 각 링크를 클릭하셔서 다운로드 받으신 후 실행을 하시면 됩니다
보다 자세한 사항은 "클릭하시면 사용법 등 해당 홈페이지로 이동합니다" 링크를
클릭하시면 확인하실 수 있습니다
MS08-067 취약점 패치 : http://www.microsoft.com/korea/technet/security/Bulletin/MS08-067.mspx
이 취약점은 2008년 10월 23일에 이미 패치가 나온 것입니다.
아직 안 하셨으면 지금이라도 패치하시길 권합니다.
위 페이지로 이동하셔서 사용하고 있는 OS별로 다운을 받아 실행을 하시면 됩니다
참고 글 : 악성 프로그램에 강한 윈도우 만들기
현재 이 바이러스에 대한 백신 회사들의 진단명과
전용 백신이므로 위의 증상이 나타나면 치료하기를 바랍니다
AhnLab 안철수연구소
- Win32/AimBot.worm.15872
- Win-Trojan/Agent.4096.EI
전용 백신 : http://kr.ahnlab.com/downLoadFreeVaccine.ahn?filename=v3aimbot.exe
클릭하시면 사용법 등 해당 홈페이지로 이동합니다
알약 AlYac
- V.WOM.Conficker
- V.WOM.Aimbot.cc
전용 백신 (V.WOM.Conficker) : http://aldn.altools.co.kr/alyac/anti-downadup(conficker).exe
-> 알약의 경우 알약 업데이트를 통해서 최신버전으로 검사하세요.
클릭하시면 사용법 등 해당 홈페이지로 이동합니다
카스퍼스키 Kaspersky
- Rootkit.Win32.Agent.hcd
- Trojan.Win32.Inject.oqw
- Net-Worm.Win32.Kido
전용 백신 : http://www.kaspersky.co.kr//download/util/avptool/2009_00-55.exe
클릭하시면 사용법 등 해당 홈페이지로 이동합니다
엔프로텍트 nProtect
- Trojan/W32.Agent.4096
- Trojan/W32.Agent.15872
전용 백신 : http://pds.nprotect.co.kr/pds/scan/nProtectEAV2090.com
클릭하시면 사용법 등 해당 홈페이지로 이동합니다
하우리 Hauri
- Worm.WIn32.Conficker.161513
- Worm.WIn32.Conficker.164746
- Worm.WIn32.Conficker.173318
전용 백신 : http://download.hauri.net/DownSource/down/dwn_antivirus_down.html?uid=57
클릭하시면 사용법 등 해당 홈페이지로 이동합니다
마지막으로 엔프로텍트는 다음과 같이 밝혔습니다.
일부에서 이슈화된 "포맷을 하여도 제거되지 않는 등"의 위협적인 기능을 갖고 있지는 않으므로, 오해로 인한 착오가 발생하지 않도록 주의가 필요하다.
또 다른 예방법으로는 445 포트 차단을 하여 네트워크 침입경로를 차단하는 것도
좋은 방법입니다.
'컴퓨터 자료' 카테고리의 다른 글
Hiren's BootCD 9.8 (0) | 2009.03.11 |
---|---|
써멀그리스 도포 방법 (0) | 2009.03.10 |
가볍고 강력한 백 신 nod32 2.7 [설정 v.2.2] (0) | 2009.02.04 |
화면 보호기 (Screensaver) (0) | 2008.12.19 |
플립시계 화면 보호기 (0) | 2008.12.14 |