얼마 전 한국소프트웨어저작권협회를 사칭한 론다 웜이 이번에는 게임서버를 가장한 변종으로 발견됐다.

뉴테크웨이브(대표 김재명, www.viruschaser.com)는 2일 “론다 웜의 변종이 게임서버를 가장해 D 드라이브의 모든 데이터를 삭제하고 있다”며 “인터넷 게시판이나 게임 자료실, P2P 공유폴더 등으로 전파될 가능성이 높다”고 게임사이트 이용자들의 주의를 당부했다.

‘론다’ 진단명(Win32.HLLW.Ronda.based)’라는 이름의 이 바이러스는 ‘프리서버’ 접속기로 가장해 게임 유저들을 유혹한다. 프리서버란 온라인 게임 개발·서비스업체의 서버 프로그램을 해킹해 독자적인 서버 시스템을 구축한 뒤 게임을 서비스하는 불법 서버. 프리서버 접속기는 해당 서버에 접속하는 클라이언트 프로그램이다.

바이러스가 처음 실행되면 아래와 같이 가짜 메시지 창을 띄운다.

이어서 사용자가 시스템을 정상적으로 사용하지 못하도록 윈도우 복원 기능을 가진 아래와 같은 파일을 삭제한다.

- c:\windows\system32\hal.dll

- c:\WINDOWS\system32\Restore\rstrui.exe

- c:\windows\system32\dllcache\rstrui.exe

다음으로 D:\ 드라이브에 있는 모든 폴더와 파일을 삭제하고 c:\에 아래와 같은 RONDA.doc를 생성한다.

론다 웜에 감염됐다면 먼저 최신 업데이트 백신으로 치료한 후, 시스템을 복구해야 한다. 복구방법은 복원 파일이 삭제됐으므로 감염된 시스템의 OS 버전을 확인하여 같은 OS 버전의 파일을 복사해 복구한다.

[김선애 기자(boan1@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>