
『안철수연구소-바이러스 정보 (go AHN)』 400번
 제  목:[정보] Win95/Love                                           
 올린시각:00/01/02 02:08  읽음:1183 관련자료 없음
 -----------------------------------------------------------------------------

1) 이름: Win95/Love 
2) 다른이름: Win95.Love.998 
3) 제작지: 한국 
4) 국내발견: 1999년 12월 
5) 종류: 파일 바이러스 
6) 특성: 겹쳐쓰기, 상주형 
7) 증상: 2000년 2월 이후 매달 1일 음악을 출력한다. 
8) 내용: 

Win95/Love 바이러스는 1999년 12월 말 최초 발견된 바이러스로 이미 각 통신
망을 타고 많이 배포된 것으로 보여진다. 제작지는 한국. 윈도우 95/98에서만 
활동하며, 윈도우 NT에서는 활동하지 않는다. 감염된 파일이 실행되면 기억장
소에 상주한 후 오픈되는 파일중 확장자가 EXE인 PE(Portable Executable) 형
식의 윈도우 실행 파일을 감염시키나 시스템에 따라 기억장소에 상주하지 못
하는 경우도 있다. 또한 EXE 파일을 감염시킬 때 ".reloc" 섹션이 있는 파일
만 감염시킬 수 있다. 

파일을 감염시킬 때는 파일의 빈 영역에 자신을 겹쳐쓰는 형태로 감염시키므
로 파일 길이가 증가하지 않는 경우가 대부분이나, 바이러스를 겹쳐 쓸 빈 영
역이 부족할 경우 파일 끝부분에 기생해 감염시킨다. 단, 바이러스 버그로 인
해 감염된 파일 크기가 비정상적으로 커질 수 있으며 이들 파일은 정상적인 
파일로 교체해 줘야 한다. 

2000년 2월 이후 매달 1일(2월 1일 포함) 프로그램이 실행될 때 PC 스피커로 
모 회사의 로고송을 연주하는 것 이외에 특별한 증상은 없다. 음악이 연주될 
때는 시스템의 모든 동작이 멈추며 음악 연주가 끝난 후에는 컴퓨터를 다시 
사용할 수 있다. 감염된 파일 내부에 "LOVE"라는 문자열이 존재한다. 


『안철수연구소-바이러스 정보 (go AHN)』 401번
 제  목:[정보] Win2K/Insta                                          
 올린시각:00/01/07 19:05  읽음: 361 관련자료 없음
 -----------------------------------------------------------------------------

1) 이름 : Win2K/Insta
2) 다른 이름 : Installer
3) 제작지 : 외국 (체코, 2000년 1월 발견)
4) 국내 발견 : 미발견
5) 종류 : 비상주형 파일 바이러스
6) 특성 : Windows 2000에서만 감염된다.
7) 증상 : 감염외에 특별한 증상은 없음
8) 내용 :

Win32/Insta 바이러스는 최초의 윈도우 2000 전용 바이러스로 바
이러스 코드의 대부분은 윈도우 32에 의존한다.
이 바이러스는 윈도우 2000 이전 (윈도우 95,98,NT 4.x) 버전에
서는 다른 파일을 감염시키지 않는다.
바이러스 제작자는 체코에 사는 올해 17살의 자칭 Benny로 알려
졌다.

이 바이러스가 윈도우 2000에 의존하는 부분은 오직 MSI 감염부
분이다. MSI란 윈도우 2000에 포함된 마이크로소프트사의
새로운 인스톨 기술로 윈도우의 초기 버전에서도 이용할 수 있
다.

MSI 파일 내부에 CAB 파일이나 압축되지 않은 CAB 파일안에 실행
파일이 있다면 바이러스는 실행파일을 감염시킬 수 있다.
바이러스는 파일의 코드부분에 겹쳐쓰므로 프로그램들이 정상적
으로 작동되지 않거나 심한 경우 충돌을 일으킬 수가 있다.

  감염된 파일이 실행되면 루트 폴더부터 시작해 하위폴더까지
감염시킬 파일을 찾게 된다. 이후 윈도우 실행 파일(PE 파일)을
발견할 경우 바이러스가 들어갈 크기가 있으면 그곳에 겹쳐쓰는
형태로 감염된다. 또한 OLE2 파일(워드나 엑셀과 같은)일 경우
파일 내에 첨부된 PE 파일을 찾아내 감염시킨다. PE 파일 내에
바이러스가 들어갈 정도의 빈 공간이 있다면 그곳에 바이러스를
겹쳐쓰게 된다.

다음과 같은 문자열을 포함하고 있다.

"[Win2000.Installer] by Benny/29A & Darkman/29A"





『안철수연구소-바이러스 정보 (go AHN)』 402번
 제  목:[정보] I-Worm/White.45056                                   
 올린시각:00/02/11 17:33  읽음: 248 관련자료 없음
 -----------------------------------------------------------------------------

[정보] I-Worm/White.45056

1) 이름 : I-Worm/White.45056
2) 다른 이름 : I-Worm/Win32.White.45056
3) 제작지 : 한국
4) 국내 발견 : 2000년 2월
5) 종류 : 웜
6) 특성 : 비주얼 베이식으로 작성되어 관련 파일이 없으면 실행되지
않는다.
7) 증상 : AUTOEXEC.BAT를 변경해 하드디스크를 포맷한다.
8) 내용

I-Worm/White.45056은 한국산 웜으로 2000년 2월 발견되었다.
인터넷 자료실에 "CD-ROM을 40배속으로"라는 제목으로 등록되었으며
이 웜을 실행하면 C:\WINDOWS\SYSTEM 폴더에 RUNDLL64.EXE 파일(45056
바이트)이 생성되고 레지스트리를 변경해 윈도우가 부팅하면 항상 실
행되도록 한다.

원형의 I-Worm/White와 대부분 증상이 유사하나, 원형의 경우 첨부 파
일이 SUNSHINE.EXE로 바뀌고 매월 31일 AUTOEXEC.BAT를 변경하는데 반
해 변형은 임의로 AUTOEXEC.BAT를 하드디스크 포맷하는 파일로 변경해
다음번 부팅때 하드디스크를 포맷하게 한다.

내부에 다음과 같은 문자열을 포함하고 있다.

"Who am I? Worm?"
"c:\nhkr.wrm"
"It's happy to ^ day[31].."
"I-WORM/WHITE???"
"c:\autoexec.bat"
"I-WORM/White2k.B"
"Need for VB6.0 DLL File."
"But I have VB6KO.DLL^^"
"Hm...^^"
"* Create by NHKR _ Need for VB DLL File #6.0"
"It's happy to ^day[31].."
"I-WORM/WHITE???"
"WhiteBZ.EXE"
"Need for Install File... --;;"
"WhiteB"
"Look the WHITE^^B [Happy Birthday~!] <This is WHITE Day.. Run
FILE ^^"
"Sunshine.exe"
"Comments loader32/white.B for yourlife...,"
"CompanyName NHKR"
"LegalCopyght NHKR"
"ProductName I-WORM/WHITE.B It's MSG : "
"FileVersion 1.02"
"ProductVersion 1.02"
"InternalName WhiteB"
"OriginalFilename WhiteB.EXE"



『안철수연구소-바이러스 정보 (go AHN)』 403번
 제  목:[정보] I-Worm/PrettyPark.60928                              
 올린시각:00/02/25 16:38  읽음: 289 관련자료 없음
 -----------------------------------------------------------------------------


1) 이름: I-Worm/PrettyPark.60928
2) 다른이름: W95/Backdoor.PrettyPark, W32/Pretty.worm
3) 제작지: 외국(2000년 2월 15일 발견)
4) 국내발견: 2000년 2월 25일 
5) 종류: 웜
6) 증상: 사용자 정보를 유출시킨다. 30분 간격으로 웜이 첨부된 
메일을 발송한다.
7) 특성: 웜만 제거하면 다른 프로그램이 실행되지 않으므로 V3와 
배치 파일(KILLPPRK.BAT)로 조치해야 한다.

I-Worm/PrettyPark.60928은 외국산 웜으로 2000년 2월 15일 발견되
었고 국내에는 2월 25일 유입되었다. 원형 I-Worm/PrettyPark의 압
축을 푼 형태로, 원형이 37376바이트인 데 비해 이 웜은 60928바이
트이다. 나머지 증상은 원형과 동일하다. 

<증상>
PrettyPark.60928은 사용자의 컴퓨터 이름부터 E-mail 주소, 사용
자 비밀번호 등의 여러 정보를 IRC 서버로 보내 웜 제작자가 다양
한 정보를 수집할 수 있게 한다. 웜 제작자는 웜을 백도어(백오리
피스와 같은 해킹 툴)로도 활용할 수 있다.

웜 프로그램이 실행되면 시스템 폴더(보통 C:\WINDOWS\SYSTEM)에 
FILES32.VXD 파일을 만들고 레지스트리를 변경한다. 레지스크리가 
변경된 후에는 모든 EXE 파일이 실행될 때마다 FILES32.VXD 파일이 
먼저 실행되어 웜이 활동을 한다. 

즉, 30분 간격으로 웜이 첨부된 메일을 주소록을 통해 발송하고 사
용자 정보를 유출시킨다. 
첨부되는 파일 이름은 "Pretty Park.exe"로 "South Park"란 애니메
이션에 나오는 인물이 아이콘으로 나온다.

<치료 방법>
이 웜 프로그램을 치료하려면 2000년 2월 25일자 V3 엔진과 안철수
연구소에서 제작한 배치파일(KILLPPRK.BAT)을 동시에 실행시켜야 
한다. 이 배치 파일을 도스 창이나 윈도우의 탐색기에서 실행하면 
레지스트리가 자동으로 편집된다. 단, 웜을 이미 치료했을 경우에
는 도스창에서만 실행 가능하다. 웜만 삭제하면 이후 EXE 파일을 
실행할 수 없게 되므로 주의해야 한다. 

V3로 치료하기 이전에 KILLPPRK.BAT를 실행하여 레지스트리가 편집
된 사용자는 윈도우의 도스창에서는 파일이 삭제가 되지 않으므로 
반드시 MS-DOS 모드로 시스템을 재부팅한 후에 V3.EXE를 실행하여 
진단된 파일을 삭제해야 한다(윈도우 상태에서 삭제하고자 하는 파
일이 실행 중이므로 반드시 도스 모드로 재부팅해야 한다.)

KILLPPRK.BAT 파일을 실행하기 전에 먼저 C:\WINDOWS 폴더에 있는 
USER.DAT 파일과 SYSTEM.DAT 파일을 백업해 두는 것이 좋다. 파일
을 실행한 후 윈도우에 이상이 있는 경우 백업해둔 파일을 다시 덮
어 씌우고 수동으로 레지스트리 편집기를 이용해서 수정해야 한다.

KILLPPRK.BAT 파일은 감염되지 않은 상태에서는 절대 실행하지 말
아야 한다. 이 파일을 실행하기 전 반드시 V3로 감염 여부를 검사
한 후 감염되었다고 진단된 사용자들만 이 파일을 실행한다.

V3 2월 25일자 엔진과 KILLPPRK.BAT 파일(killpprk.zip 형태로 제
공)은 25일 오후 6시 이후에 인터넷(www.ahnlab.com)과 PC 통신(천
리안, 하이텔, 나우누리, 유니텔 GO AHN)에서 내려받을 수 있다. 
                            
<윈도우 NT 사용자의 수동 조치 방법>
1. COMMAND.COM을 실행한다. (실행 -> 시작)  - 모든 EXE 파일에 
영향을 미치기 때문에 확장자가 COM인 파일을 실행해야 한다. NT의 
명령 프롬프트인 CMD.EXE 역시 확장자가 EXE이기 때문에 실행되지 
않는다.

2. WINDOWS 폴더 (WINDOWS, WINNT 등)에서 REGEIDT.EXE의 확장자를 
REGEDIT.COM으로 바꾼다 - 이때 Windows 2000에선 CD를 넣으라는 
등의 메시지가 출력되지만 무시한다.

3. REGEDIT.COM을 실행한다.

4. FILES32.VXD를 찾는다. (편집 -> 찾기)

5. FILES32.VXD만 삭제한다. ( "%1" %*는 삭제하면 안된다.)

6. REGEDIT.COM을 REGEDIT.EXE로 바꾼다.    

7. 재부팅한다.


『안철수연구소-바이러스 정보 (go AHN)』 404번
 제  목:[정보] VBS/Netlog                                           
 올린시각:00/03/14 11:23  읽음: 368 관련자료 없음
 -----------------------------------------------------------------------------

[정보] VBS/Netlog

1) 이름 : VBS/Netlog
2) 제작지 : 외국(2000년 2월 발견)
3) 국내 발견 : 2000년 3월
4) 종류 : 스크립트 웜
5) 증상 : NETWORK.LOG에 기록을 남긴다.
6) 특징 : 네트웍으로 전파된다.

VBS/Netlog는 비주얼 베이식 스크립트(VBS:Visual Basic Script)로 작성된
웜 프로그램으로 2000년 2월 처음 발견되었다. 국내에는 3월에 발견되었으며
VBS.Network, VBS_NETLOG.WORM 등으로 불리기도 한다.

파일이 실행되면 C 드라이브 루트에 NETWORK.LOG 파일을 생성하고
이후 임의의 IP 주소로 C 드라이브가 공유된 컴퓨터를 찾아낸 후 아래 폴더에
NETWORK.VBS 파일을 생성한다. C 드라이브가 공유된 컴퓨터는 J 드라이브로
매핑된다.

"j:\"
"j:\windows"
"j:\windows\start menu\programs\startup"
"j:\win95\start menu\programs\startup"
"j:\win95\startm~1\programs\startup"
"j:\wind95"

한글 윈도우는 시작 폴더가 "Start Menu"가 아닌 "시작 메뉴"이므로
영문 버전 이외의 윈도우를 사용하면 웜이 다음 부팅시 자동으로 실행되지
는 않는다.

치료를 위해서는 NETWORK.VBS 파일을 찾아 삭제하면 된다.
단, WINDOWS\SAMPLES\WSH의 NETWORK.VBS는 정상적인 스크립트 파일이므로
삭제해서는 안된다.

『안철수연구소-바이러스 정보 (go AHN)』 405번
 제  목:[정보] JS/Kak                                               
 올린시각:00/03/14 11:24  읽음: 178 관련자료 없음
 -----------------------------------------------------------------------------

[정보] JS/Kak


1) 이름 : JS/Kak
2) 다른 이름 : WScript.KakWorm, WScript/Kak.worm, VBS.Kak.Worm
3) 제작지 : 외국 (1999년 12월 발견)
4) 국내 발견 : 2000년 3월
5) 종류 : 자바 스크립트 웜
6) 증상 : 매달 1일 오후 5시에 메시지 출력
7) 내용

JS/Kak은 마이크로소프트 아웃룩 익스프레스 프로그램을 통해 퍼져나가는 웜
으로 1999년 12월 최초발견되었다. 2000년 2월 유럽 몇개국가에서 감염사례가
보고 되었고 국내에는 2000년 3월에 발견되었다. WScript.KakWorm, WScript/
Kak.worm, VBS.Kak.Worm 등으로 불리고 있으며 이 웜은 자바 스크립트로 작성
되었다.

VBS/BubbleBoy에서 사용한 아웃룩 익스프레스의 보안상 허점을 이용해 감염되
는 웜으로 구버전의 아웃룻 익스프레스를 사용할 경우 감염된 메일을 읽는것
만으로 감염된다.

마이크로소프트사는 이런 보안상의 문제를 해결한 패치를 공개했다.
아래의 주소에서 관련 자료를 참고하기 바란다.
"http://www.microsoft.com/technet/security/bulletin/ms99-032.asp"

웜은 메일의 서명(Signature)형태로 존재하며 감염된 E-mail을 보안 버그가
패치안된 아웃룩 익스프레스로 읽을 경우 감염된다. 영어와 프랑스어 버전의
윈도우를 사용할 경우에만 웜이 정상적으로 감염된다.
생성되는 파일은 KAK.HTA 파일로 4116 바이트의 크기를 가지고 있다.
이후 사용자가 보내는 모든 메일에 서명형태로 웜이 붙게된다.

특징적인 증상은 매달 1월 오후 5시 이후에 다음의 메시지를 출력하는 것
이다.

"Kagou-Anti-Kro$oft says not today!"
그리고 윈도우를 멈추게 한다.


『안철수연구소-바이러스 정보 (go AHN)』 406번
 제  목:[정보] I-Worm/Melting                                       
 올린시각:00/03/14 11:24  읽음: 351 관련자료 없음
 -----------------------------------------------------------------------------

[정보] I-Worm/Melting

1) 이름 : I-Worm/Melting
2) 다른 이름 :
3) 제작지 : 외국 (2000년 3월 발견)
4) 국내 발견 : 미발견
5) 종류 : 인터넷 웜
6) 증상 : 파일의 확장자를 바꾸고 화면을 뭉겐다.
7) 내용

I-Worm/Melting은 외국산 웜 프로그램으로 2000년 3월 발견되었다. 아직 일
반에 퍼졌다는 보고는 없고 국내에도 발견되지 않았다.
비주얼 베이식으로 작성된 웜으로 17920 바이트의 길이를 가지고 있다. 또한
웜이 실행되기 위해선 MSVBVM50.DLL 파일이 필요하다.

사용자가 메일에 첨부된 실행파일을 실행하면 MS Outlook을 통해 자신을 전파
시킨다. 메일의 제목은 "Fantastic Screensaver"이며 춤부 파일명은 "Melting
Screen.exe"이다.

메일의 내용은 다음과 같다.

"Hello my friend ! Attached is my newest and funniest Screensaver,
 I named it MeltingScreen. Test it and tell me what you think.
 Have a nice day my friend.
 p.s.: Please install the Runtime Library for VB 5.0,
       before you run the ScreenSaver.


특징적인 증상은 윈도우 폴더의 모든 EXE 파일을 BIN 파일로 확장자를 바
꾸고 화면을 뭉게는 것이다.


『안철수연구소-바이러스 정보 (go AHN)』 407번
 제  목:[정보] Irok                                                 
 올린시각:00/04/03 18:35  읽음:  89 관련자료 없음
 -----------------------------------------------------------------------------

1) 이름 : Irok
2) 다른 이름 : VBS/Irok.Trojan.Worm
3) 제작지 : 외국 (2000년 3월 발견)
4) 국내 발견 : 미발견
5) 종류 : 웜 
6) 증상 : 
7) 내용

Irok는 외국산 웜으로 2000년 3월 발견되었다. 국내에는 발견되지
않았다.
이 웜을 만든 사람은 자신을 Raid로 부르는 자로 HLLP.Toadie등의 바
이러스를 제작한 사람이다.

감염된 파일(IROK.EXE)이 실행되면 Windows 시스템 폴더에 IROKRUN.VBS를
생성한다.
이 스크립트는 Outlook에서 60명의 사람들에게 웜을 보내는 역할을 한다.

아웃룩으로 보내는 메일의 제목은 "I thought you might like to see this."
이며 본문 내용은 "I thought you might like this. I got it from paramount 
pictures website. It's a startrek screen saver."로 IROK.EXE 파일이
첨부된다.

이 웜이 실행되기 위해선 WSH(Windows Scripting Host)가 필요하므로 Windows
98이상 혹은 WSH가 설치된 Windows 95가 필요하다. Windows 2000과 Windows
NT에서는 감염되지 않는다.

mIRC가 설치되어 있다면 mIRC 폴더에 SCRIPT.INI를 생성해 IRC
(Internet Relay Chat)사용시 자신을 퍼뜨릴 수 있다.

『안철수연구소-바이러스 정보 (go AHN)』 408번
 제  목:[정보] Win-Trojan/SubSeven_v22                              
 올린시각:00/04/03 18:35  읽음: 215 관련자료 없음
 -----------------------------------------------------------------------------

1) 이름 : Win-Trojan/SubSeven_v22
2) 다른 이름 : 
3) 제작지 : 외국 (2000년 3월 27일 발견)
4) 국내 발견 : 미발견 
5) 종류 : 백도어 트로이목마 
6) 증상 : 
7) 내용

  Win-Trojan/SubSeven_v22는 외국산 트로이목마로 백오리피스와
같이 사용자 컴퓨터를 원격조정할 수 있는 백도어 프로그램이다.
  제작자는 2000년 3월 27일 버전 2.2 베타 버전이 자신의 
홈페이지에 공개 했으며 NT용 서버는 별도 공개되었다.

  서브세븐은 백오리피스와 함께 가장 많이 사용되는 백도어
프로그램중 하나로 국내에서도 해킹에 자주 사용된다.

  주요 주요 기능으로는 다음과 같다.

  * PC 정보 얻기
  * 메시지 보내기
  * 파일 찾기
  * 파일 관리 (복사, 옮기기, 삭제 등)

  이외 서버 정지, 제거, 업데이트 등의 부가 기능도 지원된다.
  백오피피스와 같이 각종 플러그인도 가능해 여러가지 기능이 
지원될 수 있다.

  서브세븐에서 제공되는 서버 관리 프로그램을 이용하면 정상적인
프로그램(게임이나 유틸리티와 같은)에 서브세븐을 추가 할 수 있다.
이 프로그램을 실행면 해당 컴퓨터가 인터넷에 연결될 시 다른 사람의
조정을 받게 된다.
  일반적으로 생성되는 서버 프로그램의 파일 크기는 57892 바이트이다.

  V3 제품군에선 서브세브 2.2 베타 버전의 서버, 클라이언트 및 
플러그인등을 진단, 치료 할 수 있다.

『안철수연구소-바이러스 정보 (go AHN)』 409번
 제  목:[정보] IRC-Worm/Movie                                       
 올린시각:00/04/03 18:36  읽음: 143 관련자료 없음
 -----------------------------------------------------------------------------

1) 이름 : IRC-Worm/Movie
2) 다른 이름 : Pif.worm.gen
3) 제작지 : 외국 (2000년 3월 유럽에서 발견)
4) 국내 발견 : 2000년 3월 
5) 종류 : IRC 스크립트 웜
6) 증상 : 
7) 내용

  IRC-Worm/Movie는 2000년 3월 유럽에서 최초 발견된 웜으로
국내엔 3월말 발견되었다.
  이 웜은 IRC(Internet Relay Chat) 클라이언트인 mIRC로 전파된다. 

  mIRC로 이 웜에 감염된 사용자와 얘기할 경우 자신의 mIRC 다운로드
폴더 (보통 C:\MIRC\DOWNLOAD)에 "MOVIE.AVI.PIF" 파일이 (4378 바이트)
전송된다.
이 파일을 Windows 탐색기로 볼 경우 대부분의 시스템에서 일반 동영상
파일인것 처럼 보여 탐색기로 실행할 가능성이 높다. 단, 파일이 반드시 
C:\MIRC\DOWNLOAD 폴더에 있어야만 정상 실행된다.
  일단 실행된 웜은 MOVIE.AVI.PIF 파일을 C:\MIRC 폴더에 SCRIPT.INI로
복사한다.  
  이후 mIRC 프로그램을 실행할때 자동으로 SCRIPT.INI가 실행되며 다른 
사용자에게도 웜을 전송하며 C:\WINDOWS 폴더에 WINSTART.BAT과 C:\MIRC 
폴더에 MIRC.BAT를 생성한다. MIRC.BAT는 웜이 스스로 실행하며 
C:\WINDOWS\SYSTEM 폴더에 MOVIE.AVI.PIF를 복사하고 시작프로그램에 
WIN.COM.BAT란 이름으로 웜을 등록한다. 이후 부팅때 마다 웜이 자동실행
되도록 한다. 
하지만, "C:\Windows\Start Menu\Programs\Start Up" 폴더는 영문버전에만
존재하므로 한글 Windows를 사용할 경우 부팅시 웜이 자동실행되지는 않는다.
  단, 한글 Windows에서도 mIRC를 사용할 경우 다른 사용자에게 웜을 전파 할
수 있다.

  다음과 같은 문자열을 포함하고 있다.
  
  "Someone said qwerty, hehe!"
  "Dedicated To A Good Friend Of Mine, D.L."

『안철수연구소-바이러스 정보 (go AHN)』 410번
 제  목:[정보] Win-Trojan/Jumin.64000                               
 올린시각:00/04/03 18:36  읽음: 377 관련자료 없음
 -----------------------------------------------------------------------------

1) 이름 : Win-Trojan/Jumin.64000
2) 다른 이름 : Trojan.Win32.Jumin.64000
3) 제작지 : 한국 
4) 국내 발견 : 2000년 3월 13일 
5) 종류 : 트로이목마 해킹툴 
6) 증상 : 
7) 내용

  Win-Trojan/Jumin.64000은 주민등록생성 프로그램으로 사용자에게
해를 끼치는 바이러스나 트로이목마 같은 악성 프로그램은 아니다.
  하지만, 주민등록생성 프로그램은 가짜 주민등록번호를 만들어 
허위로 웹사이트 등에 등록하는데 사용되므로 해킹툴로 보고 
V3 제품군에서 진단을  추가하게 되었다.
  이는 현재 백신 프로그램이 바이러스 뿐 아니라 트로이목마, 
해킹툴 등을 진단하기 때문이다.

『안철수연구소-바이러스 정보 (go AHN)』 411번
 제  목:[정보] Worm/Firkin                                          
 올린시각:00/04/04 16:48  읽음: 173 관련자료 없음
 -----------------------------------------------------------------------------

1) 이름 : Worm/Firkin
2) 다른 이름 : 911, Chode, BAT911, BAT.Chode.Worm, W95/Firkin.worm
3) 제작지 : 미국 (2000년 3월 31일 발견)
4) 국내 발견일 : 미발견
5) 종류 : 웜
6) 증상 : 모뎀이 설치되어 있다면 911로 전화건다.
7) 내용

  Worm/Firkin은 외국산 웜으로 2000년 3월 31일 미국에서 최초 보고되었다.
  4월 3일까지 3가지 변형이 발견되었다.
  모뎀이 존재할 때 911에 전화 거는 증상 때문에 911로 불리기도 한다.

  웜이 실행되면 Windows 시작 폴더("Start Menu\Programs\Startup")에 윈
도우가 실행될때 마다 자동실행되도록 한다. 하지만, 영문 Windows가 아닌 
Windows를 사용한다면 폴더명이 틀려 파일이 생성되지 않는다.
또한 Windows가 반드시 C:\WINDOWS로 일 경우에만 정상적으로 감염된다.

  그후 ISP(주로 미국쪽 ISP)의 IP 어드레스를 이용해 네트웍으로 연결된 컴
퓨터를 찾고 C 드라이브가 암호 없이 읽기/쓰기 공유되어 있다면 해당 컴퓨
터를 감염시킨다. 또 감염과정에서 VBS/Netlog가 존재한다면 치료한다.
단, 이 과정은 사용자가 알지 못하게 이루어진다.

  특징적인 증상으로는 매달 19일 아래 폴더를 삭제하고 메시지를 출력
하는 것이다.

  C:\WINDOWS
  C:\WINDOWS\SYSTEM
  C:\WINDOWS\COMMAND
  C:\

 "You Have Been Infected By Chode
  You may now turn this piece of shit off!"

  (단, 변형되면 날짜나 메시지가 다를 수 있다.)

  감염된 컴퓨터에는 다음과 같은 파일이 존재한다.

* "Worm/Firkin": MSTUM.BAT, MSTUM.PIF  
* "Worm/Firkin.C": CHODE.BAT, NETSTAT.PIF    
  
  (위 파일 이외에도 다수의 파일이 존재한다.)

  참고로 이 웜에 감염되면 생성되는 ASHIELD.EXE는 정상적인 프리웨어 유
틸리티로 삭제 하지 않아도 된다.

  FINAL.BAT에는 다음과 같은 내용이 포함되어 있다.

"REM fOREsKIN sElf rEPlIcAToR vERSION 1.07c final CHAoS (C) 2000 EMD LABS INC 
 REM rAndOm dEvIStAtOr 
 REM nOt pErFECt, bUt iT sERvES iTS pUrPosE....bAtCh fIlE pROgRAMmINg 
 REM sInCe tHis vIrUs uSeS aN .eXe fILe iT cAn pOtEnTiAllY sPReAD otHeR 
     vIRuSeS  oThER tHAn iTsElF...cOoL!!! 
 REM wAs nOt cREaTED bY tHE sAMe pERsON tHAT wROtE tHe nETwORk.vBs sHIt 
 REM iT wAs jUsT iN mY wAy"

『안철수연구소-바이러스 정보 (go AHN)』 412번
 제  목:[정보] W97M/ColdApe.L                                       
 올린시각:00/04/20 09:12  읽음: 103 관련자료 없음
 -----------------------------------------------------------------------------


[정보] W97M/ColdApe.L

1) 이름 : W97M/ColdApe.L
2) 다른 이름 :
3) 제작지 : 미국 (1998년 11월 발견)
4) 국내 발견일 : 1999년 9월 14일
5) 종류 : 워드 97 매크로
6) 증상 : VBS 파일을 만든다.
7) 내용

W97M/ColdApe는 외국산 매크로 바이러스로 워드 97, 2000에서 감염된다.
이 바이러스는 1998년 11월 처음 발견되었으며 국내에는 1999년 9월 14일
처음 보고 되었다. 이후 여러 변형들이 국내에서도 발견되었다.
1999년 10월 6일에는 W97M/ColdApe.B, 1999년 11월 19일에는W97M/ColdApe.E
가 발견되었으며, 지난 4월 7일 발견된 변종은 W97M/ColdApe.L 이다.
감염된 문서가 열리면 이후 사용되는 워드 문서를 감염시킨다.
바이러스는 다음과 같은 VBS 파일을 루트나 Windows 폴더에 생성한다.

 "A4.VBS, AVM.VBS, HAPPY.VBS"

A4.VBS는 Outlook을 이용해 바이러스 제작자에게는 사용자의 IP 어드레스를
한 바이러스 연구가에겐 무례한 내용의 메일을 보낸다.
AVM.VBS과 HAPPY.VBS는 VBS 파일을 감염시키는 바이러스이다.

감염된 사용자의 기록을 바이러스 내부에 남기는 변형도 발견되었다.


『안철수연구소-바이러스 정보 (go AHN)』 413번
 제  목:[정보] Win95/Matrix                                         
 올린시각:00/04/20 09:12  읽음: 183 관련자료 없음
 -----------------------------------------------------------------------------

[정보] Win95/Matrix

1) 이름 : Win95/Matrix
2) 다른 이름 : Win95.Matrix.3597, PE_MATRIX.3597
3) 제작지 : 외국 (2000년 3월)
4) 국내 발견일 : 2000년 4월 4일
5) 종류 : 파일(EXE/PE), 상주형, 다형성, 기생형
6) 증상 : 4월 6일 레지스트리를 변형한다.
              7월 7일 메시지를 출력한다.
7) 내용

Win95/Matrix 바이러스는 외국산 파일 바이러스로 2000년 3월에 외국에서
최초 발견되었으며 국내에서는 2000년 4월 4일 발견되었다.
바이러스에 감염된 프로그램이 실행되면 기억장소(메모리)에 올라간다.
바이러스가 메모리에 올라간 이후 사용자가 실행하는 파일 중 EXE/PE파일과
COM 파일을 감염시킨다.
단, Windows NT, 윈도우 2000에서는 바이러스가 메모리에 올라가도 다른
파일을 감염시키지는 않는다.

확장자가 EXE/PE파일과 COM인 파일 모두가 감염되는 것은 아니다.
파일 이름이 "AVP","NAV","TB","F-","FAV","DRW","DSAV","NOD","SCA"
등으로 시작하는 프로그램(대체적으로 백신)은 감염시키지 않는다.

또 다른 증상은 "AVP.CRC", "ANTI-VIR.DAT", "IVB.NTZ", "CHKLIST.MS"와
같이 바이러스 예방 목적으로 만들어진 파일을 삭제하는 것이다.

확장자가 COM인 파일은 바이러스에 감염되더라도 다른 파일을 감염시키지는
않는다. 단지 매년 7월 7일 녹색 글씨로 다음과 같은 메시지를 출력할 뿐이다.

"Wake up, Neo...
 The Matrix has you...
 w9x.mATRiX"

Neo는 영화 매트릭스의 주인공(키아누 리브스 분) 이름이다.
이 메시지를 출력하는 중에 시스템이 중단되는 경우도 있다.

COM 파일을 제외한 파일들은 바이러스에 감염되면 매년 4월 6일 시스템 종료로는
컴퓨터 끌 수 없도록 레지스트리를 변경한다.

바이러스 내부에는 다음과 같은 문자열이 포함돼 있다.

"<w9x.mATRiX.3597 (숫자) & MyLittlePoly.1534 by LiFEwiRE [sHAD0WvX]>"

(숫자)엔 8자리 숫자가 들어가는데 이 값은 감염될 때마다 증가한다.


『안철수연구소-바이러스 정보 (go AHN)』 414번
 제  목:[정보] W97M/Melissa.O                                       
 올린시각:00/04/20 09:12  읽음: 163 관련자료 없음
 -----------------------------------------------------------------------------

[정보] W97M/Melissa.O

1) 이름 : W97M/Melissa.O
2) 다른 이름 : W97M.Melissa.O, W97M_MELISSA.O, W97M/Melissa.o@MM
3) 제작지 : 외국(1999년 9월)
4) 국내 발견일 : 2000년 4월 10일
5) 종류 : 워드 97 매크로
6) 증상 :
7) 내용

W97M/Melissa.O 바이러스는 외국산 매크로 바이러스로 1999년 9월 발견되었다.
국내에서는 2000년 4월 10일 처음 보고되었다.
감염된 문서를 워드 97이나 2000으로 열면 이후 사용되는 문서를 감염시키며
마이크로소프트사의 아웃룩(OutLook)을 사용하고 있으면 OutLook을 이용해
50명에게 감염된 문서를 보낸다.

메일 제목은 "Duhalde Presidente"와 현재 사용자 이름이고 내용은
"Programa de gobierno 1999-2004"이다. 여기에 감염된 워드 문서가 첨부된다.

특징적인 증상은 오늘 "날짜 + 1"과 현재 "분 + 2"이 같을 때 빈 공간을 문서
내용에 넣는 것이다.

예를 들어 오늘 날짜가 12일일땐 매 14분마다 증상이 나타난다


『안철수연구소-바이러스 정보 (go AHN)』 415번
 제  목:[정보] Trojan/Surprised_Batch.9247                          
 올린시각:00/04/20 09:13  읽음: 319 관련자료 없음
 -----------------------------------------------------------------------------

[정보] Trojan/Surprised_Batch.9247

이름: Trojan/Surprised_Batch.9247
국내 발견일 : 2000년 4월 14일
종류: 트로이목마
증상 :

Trojan/Surprised_Batch.9247는 ISP와 클라이언트를 모두 공격하는 악성
배치(BAT) 프로그램이다.
E-mail 첨부 파일로 전송되며, 사용자가 이를 실행하면 지정한 FTP 서버에
접속해 유틸리티를 받아와 실행한다.
이러한 경로로 실행되는 악성 프로그램은 이번이 처음이다.
이 프로그램은 H통신 통신망에서 처음 발견됐다.
이 프로그램은 "알면 마처보세요. 깜짝쇼에요"라는 제목으로 E-Mail을
발송한다. 인터넷 메일로 발송된 파일을 열면 압축된 형태의 INSTALL.COM
(2947바이트)과 TXT 문서가 첨부되어 있다.
이를 실행하면 FTP.EXE를 이용해 특정 사이트에 접속, 악성 프로그램들을
다운로드한다.
현재는 하드 디스크를 포맷하는 명령을 가진 배치 파일을 다운로드하나,
여기에 여러 가지 기능을 부가한 프로그램도 덧붙여 전송할 수 있다.
특히 Install.com에는 사용자 시스템의 레지스트리 파일(system.dat와 user.dat)의
속성을 해제하여 윈도우 디렉토리(\Windows)에 SYSTEM.DAT 와 USER.DAT를
SYSTEM.D01와 USER.D01로 복사해 놓는다.
만약 이 배치 프로그램을 대다수의 사용자가 실행하면, ISP측은 불특정 다수가
이용하므로 많은 시스템 부하가 걸리며, 결국 DoS(Denial of Service) 공격이
될 가능성이 크다.

사용자의 피해도 크다. 하드 디스크 포맷 등의 악성 프로그램을 다운로드하면
데이터가 손상되거나, 사용자 정보가 유출될 가능성이 크다.

"알면 마처보세요. 깜짝쇼에요"라는 제목의 메일을 받으면 메일 자체를 삭제하는
것이 좋다. 만약 이미 받아 첨부된 INSTALL.COM을 실행했다면 윈도우 탐색기를
이용하여 C:\Program\Files\0d0ax3 디렉토리를 삭제하고 윈도우 디텍토리
(C:\Windows\)의 WIN.INI를 열어 맨 윗줄을 삭제한다. 그러면 부팅시
INSTALL.COM이 매번 실행되는 것을 막을 수 있다.

다음은 INSTALL.COM과 같이 첨부된 hinameless1.txt의 메일 내용이다.
--------------------------------------------------------
보내고싶지 않은 사람임에는 분명한데,
나는 왜 당신을 보내야 하는 거죠.
어제 새벽의 꿈결같던 시간, 당신에게 난 많은 걸 배웠는데..
시린 가슴 더춥게 만들던 싸늘한 아침, 우린 화곡역 칸막이
너머로 짧은 약속을 했죠 지켜야 할 지켜야 할 그래서 더욱더
지키기 힘든 약속을.
가세요, 차라리 가버려요. 내게 메울수 없는 상처를 남기고
가버려요. 지금아니면 시간이 없기에 여기가 아니면 다신
기회가 없기에 난 서러운 눈물 감추며 보내요.
오랜만에 느껴보는 감성의 파도로 나 얼마간 행복했어요.
이제 그 파도의 굴곡은 다시 잔잔해지겠죠. 후에 다시 만나
내게 다시 많은 걸 가르쳐주길
바래요....

- R.
ps. more than you.
---------------------------------------------------------


『안철수연구소-바이러스 정보 (go AHN)』 416번
 제  목:[정보] Win32/Champ                                          
 올린시각:00/04/20 09:13  읽음: 457 관련자료 없음
 -----------------------------------------------------------------------------

[정보] Win32/Champ

1) 이름 : Win32/Champ
2) 다른 이름 : W95.Champ.5447.b, PE_CHAMPAGNE
3) 제작지 : 외국 (1999년 6월 발견)
4) 국내 발견일 : 2000년 3월 24일
5) 종류 : 파일(EXE/PE) 비상주형 다형성 기생형
6) 증상 : 매달 1일 쓰레기 파일을 만든다.
7) 내용:

Win32/Champ 바이러스는 외국산 파일 바이러스로 W95.Champ.5447.b,
PE_CHAMPAGNE 등의 이름으로 불리기도 한다.
1999년 6월에 최초 발견되었으며, 국내에서는 2000년 3월 24일 첫
감염사례가 보고되었다.

바이러스에 감염된 파일이 실행되더라도 메모리에는 올라가지 않는
비상주형 바이러스다.
대신 감염된 파일이 실행되면 EXE/PE 파일을 찾아 감염시킨다.
다형성 바이러스로 감염될 때마다 다른 암호화 방법을 사용하기 때문에
진단이 매우 어렵다.
바이러스 버그로 일부 파일은 감염되면 손상되기도 한다.
"SCAN", "DRWE", "PAVW", "AVP3", "AVP1", "NOD3", "NOD"로 파일명이
시작되는 파일은 감염시키지 않으며,현재 사용 중인 컴퓨터 하드 디스크에
ANTI-VIR.DAT 파일이 있으면 무조건 삭제한다.

특징적인 증상은 매월 1일 C:\, C:\\WINDOWS, C\WINDOWS\SYSTEM  폴더에
몇 백개의 쓰레기 파일을 만드는 것이다.

바이러스 내부에 다음과 같은 문자열을 포함하고 있다.

"LethalMind.Champagne releaseed the 22th of March 1999.
 Greetings to 29A, SLAM, Darkman, Benny, Pockets, Rod, Mist,
 Thermo, Mdrg and all who have helped me. Je t'aime Laurence !"


『안철수연구소-바이러스 정보 (go AHN)』 417번
 제  목:[정보] Win-Trojan/DVWSSR                                    
 올린시각:00/04/20 09:13  읽음:1066 관련자료 없음
 -----------------------------------------------------------------------------

[정보] Win-Trojan/DVWSSR

1) 이름 : Win-Trojan/DVWSSR
2) 다른 이름 : FrontPage Vulnerability
3) 제작지 : 외국 (2000년 4월 14일 발견)
4) 국내 발견일 : 2000년 4월 14일
5) 종류 : 트로이목마 백도어
6) 증상 : 마이크로소프트 웹서버 소프트웨어 사용시 불법 접속
7) 내용:

Win-Trojan/DVWSSR은 마이크로소프트 제품에서 발견된 트로이목마
프로그램이다.
확인된 사실은 아니지만, 마이크로소프트사에 재직 중인 프로그래머에
의해 만들어졌을 것이라는 게 정설로 받아들여지고 있다.
마이크로소프트사는 지난 4월 14일 자사의 제품에 이러한 문제가 있음을
시인하고 미국내 주요 웹 호스팅 서비스 업체에 직접 경고하겠다고 밝혔다.

문제가 되는 파일은 "DVWSSR.DLL"이며, 파일 용량은 6416바이트이다. 파일
등록정보를 보면 파일 버전은 1.00.00.2503A, "Microsoft Design Tool -
Link View"로 되어 있다.
파일 후반부에 "!seineew era sreenigne epacsteN" 문자열이 포함되어 있다.
이 문자열을 거꾸로 읽으면 "Netscape engineers are weenies!(넷스케이프
엔지니어는 바보)"가 된다.

이 파일은 "Microsoft Front Page 98", "Windows NT 4.0 Options Kit" 등에
포함되어 있으며 "DVWSSR.DLL"은 같은 시스템을 사용하는 다른 웹 사이트의
파일을 읽을 수 있다.
결과적으로 이 파일을 찾아 삭제하지 않으면 치명적인 보안 구멍이 뚫리게
된다.

마이크로소프트사는 "DVWSSR.DLL" 파일을 찾아 지우거나 윈도우 2000으로
업그레이드하길 권하고 있다.
이에 대한 자세한 사항은   http://www.microsoft.com/technet/security/
bulletin/fq00-025.asp에서 확인할 수 있다.
V3 제품군에서는 2000년 4월 26일자 엔진에서 진단, 치료 기능을 제공한다.