| 중요파일 삭제하는 그루웜 확산 주의! | 2006.01.28 |
매월 3일, 워드, 엑셀 등 중요 파일 에러메시지로 덮어써 삭제
인터넷침해사고대응지원센터 관계자는 감염되면 매월 3일에 워드, 엑셀, 파워포인트 파일 등 중요 파일을 에러메시지로 덮어쓰는 그루웜(Grew worm)이 국내외에서 확산되고 있어 주의가 요구된다"고 경고했다.
그루웜은 백신회사에 따라 Blackworm, Blackmal, Nyxem, MyWife, Generic 등으로도 불리기도 한다. 주요 감염대상 시스템은 Windows 9x, ME, 2000, NT, XP, 2003 등이다.
전파 기법은 주로 웜 복사본을 첨부한 악성메일을 발송해 전파하거나 OS의 취약한 암호 설정을 악용해 전파한다. 또한 웜이 발송하는 악성 메일 유형으로 유포된다. 웜이 발송하는 메일 유형은 다양하다. 다음과 같은 유형의 메일을 수신할 경우 열어보지 않도록 주의해야 한다.
메일 제목은 대부분 "A Great Video", "Arab sex DSC-00465.jpg", "eBook.pdf" 등등이다. 메일본문은 ">> forwarded message", "forwarded message attached." "Fuckin Kama Sutra pics", "hello,", "Helloi attached the details." 등등으로 이루어졌다. 메일 첨부 형태는 04.pif, 007.pif, 392315089702606E-02,.scR, 677.pif 등등으로 유포를 시도하고 있다.
또한 ▼마우스 및 키보드 사용 장애가 발생하고 ▼kaspersky, McAfee, TREND MICRO, Symantec 등의 백신 프로그램을 종료하고 삭제시키는 등의 증상이 발생한다. 그루웜 감염 피해를 예방하기 위해서는 우선 감염 여부부터 확인해야 한다. 확인방법으로는 아래와 같은 방법으로 감염 여부를 확인하면 된다.
감염 예방을 위한 주의 및 대응 조치는 확인 되지 않은 메일 수신 시 메일 첨부 파일을 열어 보지 않는 것이다. 또한 윈도우즈 OS 암호를 추측하기 어렵게 설정하는 방법도 있다. <암호를 설정하는 방법>
▶윈도우2K 의 경우 센터 관계자는 "불필요한 네트워크 공유를 해제하고 필요할 경우는 반드시 암호설정을 해야한다. 또한 백신을 최신으로 업데이트하고 실시간 감시기능 활성화 및 주기적인 점검"을 실시해야 바이러스로부터 안전할 수 있다"고 밝혔다.
그로웜 감염 시 치료 방법은 우선 자동 치료 방법으로 백신프로그램이 설치되어 있을 경우 최신 버전으로 업데이트한 후 점검을 실시해야 하고, 수동치료방법으로는 윈도우즈를 안전모드로 부팅. 부팅 시 F8을 누른 후 안전 모드 선택한다. 그 후 웜이 생성한 악성 코드를 삭제하면 된다.
윈도우 탐색기 → 도구 → 폴더 옵션 → 보기에서 "보호된 운영 시스템 파일 숨기기" 를 해제 및 ┖숨김 파일 및 폴더 표시┖에 체크한 후 확인을 누른다. 또한, 시스템 폴더에 아래 이름의 파일이 존재할 경우 삭제해야 한다. 웜이 생성한 레지스트리 삭제를 위해서는 아래와 같다.
아래 항목을 선택한 후 마우스 오른쪽 버튼을 눌러 삭제선택하면 된다. 시작 → 설정 → 제어판 → 예약된 작업에서 WINZIP_TMP.exe를 실행시키는 예약 작업은 모두 삭제해야 한다. 그 후 윈도우를 재 부팅하면 된다.
<저작권자: 보안뉴스(www.boannews.com/) 무단전재-재배포금지> |
|
 |
