빠른 업데이트 요망! 하우리 라이브콜로 치료 가능

하우리 관계자는 “최근 국ㆍ내외적으로 I-Worm.Win32.Glowa.gen 웜 바이러스에 대한 감염 피해가 다수 접수되고 있다”며, “인터넷 이용자들의 주의가 필요하다”고 강조했다.

대표적 증상으로는 레지스트리 변경, 메일발송, 트로이목마 설치, 시스템 재부팅, 네트워트 UDP 패킷 등이 발생할 수 있다.

하우리 관계자는 “PC 이용자들은 주기적인 백신 엔진 업데이트를 통해 항상 최신의 엔진 상태를 유지하고, 불필요한 메일의 첨부 파일 실행을 자제해주길 당부한다”고 말했다. 

이 바이러스는 자체 SMTP기능을 이용하여 자기 자신을 첨부한 메일을 발송하며, 감염시 EXE 실행 파일을 감염시킨다. 

감염 후 증상에 대해 살펴보면, 우선 감염된 시스템에서 다음과 같은 파일명으로 윈도우 시스템 폴더에 파일을 생성한다.

- (윈도우 시스템 폴더)\alsys.exe(147,456바이트)

*바이로봇 진단명:  I-Worm.Win32.Glowa.gen

- (모든 폴더)\랜덤.t (147,456바이트)

* 바이로봇 진단명:  I-Worm.Win32.Glowa.gen

- (최초 실행된 I-Worm.win32.Glowa 폴더)\랜덤.exe (31,363바이트 )

* 바이로봇 진단명:  I-Worm.Win32.Glowa.gen

- (윈도우 시스템 폴더)\wincom32.sys

* 바이로봇 진단명: Dropper.Agent.46208, 루트킷 기능이 있음

- (윈도우 시스템 폴더)\wincom32.ini

두 번째, EXE 실행 파일들을 감염시킨다.

하우리에서는 “바이로봇에서는 Win32.Duel.A로 진단 및 치료가 가능하다”고 말하고 있다. 

세 번째, 다음의 레지스트리를 수정하여, 재부팅시에도 실행되도록 한다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- 이름 : Agent

- 데이터 : (윈도우 시스템 폴더)\alsys.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

- 이름 : Agent

- 데이터 : (윈도우 시스템 폴더)\alsys.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

- 이름 : ImagePath

- 데이터 : (윈도우 시스템 폴더)\wincom32.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

- 이름 : start

- 데이터 : 4

이 바이러스를 치료하는 방법으로는 어떤 것들이 있을까.

우선 첫째, WinXP/ME 사용자라면 시스템 복원 기능을 비활성화 하는 방법이 있다.

시스템 복원 기능을 비활성화 하는 이유는 깨끗하게 바이러스를 치료하기 위해서이다. 관련 정보는 MS 홈페이지 기술문서(Q263455)에서 확인할 수 있다.

두 번째, 백신 엔진을 최신으로 업데이트 하는 방법이다. 이 바이러스를 치료하기 위해서는 최신의 백신 엔진이 필요하다. 하우리는 “바이로봇 정식 사용자의 경우 홈페이지(www.hauri.co.kr)를 통한 업데이트와 제품군을 통해 업데이트해야 한다”고 설명했다.

또 바이로봇을 사용하지 않는 일반인들은

<보안뉴스> 보안클리닉(www.boannews.com/clinic/clinic.asp) 사이트를 통해 라이브콜 고급검사 체크(무료검사)를 이용한 바이러스 검사 및 치료가 가능하고, 바이로봇 30일 평가판 설치후 바이러스 검사 등으로 치료할 수 있다. 빠른 업데이트와 바이러스 체크가 필요하다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>