『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 353번
제 목:[정보] Word97Macro.Class.B 바이러스
올린시각:99/02/19 15:31 읽음: 7 관련자료 없음
-----------------------------------------------------------------------------
* Word97Macro.Class.B 바이러스
1) 이름: Word97Macro.Class.B
2) 다른이름:
3) 제작지: 외국 ( 미국 )
4) 국내발견: 1998년 9월
5) 종류: 워드97매크로, 다형성, 은폐형
6) 증상: CLASS.SYS 파일 생성, 메시지 출력
7) 내용:
외국산 워드97매크로 바이러스로 국내에서 발견된 것은 변형 바
이러스인 Class.B 바이러스로 이 바이러스의 제작자는 아편걱정
(Anxiety_Poppy) 바이러스 시리즈로 유명한 VicodinES로 추측된
다.
워드 97에서 이 바이러스에 감염된 문서를 열면 바이러스 매크
로가 자동으로 실행되며, C:\에 CLASS.SYS 파일과 바이러스가
포함되어 있는 NORMAL.DOT 파일이 생성된다(일반적으로
C:\Program Files\Microsoft Office\Templates).
생성된 CLASS.SYS 파일에는 바이러스 소스를 담고 있는데 이후
열리는 워드 97용 문서를 감염시킨다.
이 바이러스는 다형성 바이러스로 바이러스 코드 중간 중간에
주석문을 넣어 진단을 어렵게 했으며, 은폐형 바이러스로 "도구
(T)/매크로" 기능을 가로채 이 바이러스에 감염된 상태에서는
사용자가 매크로를 보거나 편집하지 못하게 한다.
또한, 워드 97에 포함된 "매크로 바이러스 경고" 기능을 선택하
지 않음으로 바꾸어 놓으므로 이 바이러스에 감염된 후에는 매
크로를 포함한 문서를 열 때도 경고가 출력되지 않는다.
이 바이러스를 치료한 후 다른 워드 매크로 바이러스로부터 보
호받기 위해서는 '도구(T)' -> '옵션(O)' -> '일반' -> '매크로
바이러스 보호' 메뉴를 선택해야 한다.
감염 후 특징적인 증상은 매년 6월 이후 매달 14일에 문서를 열
거나 닫을 때 "VicodinES Loves You / Class.Poppy" "I Think
사용자 이름 is a big stupid jerk!" 라는 메시지가 담긴 윈도
우 창이 나타난다.
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 354번
제 목:[정보] 교활 바이러스
올린시각:99/02/19 15:31 읽음: 17 관련자료 없음
-----------------------------------------------------------------------------
* 교활 바이러스
1) 이름: 교활(Dodgy)
2) 다른이름: Ravage
3) 제작지: 외국 (루마니아 1996년 10월)
4) 국내발견: 1999년 1월 김정식씨
5) 종류: 부트 ( 하드 디스크 주부트섹터, 플로피 ), 은폐형
6) 증상: 감염된지 3개월이 지났거나 RAV로 시작하는 프로그램
실행시 하드 디스크 데이터 파괴
7) 내용:
많은 바이오스(BIOS)에서 부트 바이러스 예방을 위해 부트 섹터
를 변경하려고 할 때 화면에 경고 메시지를 출력하고 사용자에
게 쓰기를 할 것인지 묻는다.
그러나 이 바이러스에 감염되면 이때 'Y'가 눌러진 것처럼 처리
해서 부트 섹터 쓰기가 가능하게 만든다. 아울러 부트 바이러스
로는 최초로 윈도우 95/98에서도 아무런 문제없이 동작하며, 플
로피 디스크를 감염시킬 수 있게 제작되었다.
원래 부트 섹터와 바이러스의 뒷부분은 보통 사용되지 않는 영
역에 저장하지만 간혹 이부분을 사용하는 시스템에서는 데이터
의 손실이 발생할 수 있다.
이 바이러스는 여러 가지 새로운 기법을 사용하고 있는데 일부
기법들은 1996년 발견된 안락사 바이러스에서 사용하였던 기법
이다. 특징적인 증상은 감염 후 3달이 지났거나 RAV*(Rumanian
AntiVirus: 루마니아산 백신 프로그램)가 실행될 때 다음과 같
은 메시지를 출력한 후 하드 디스크의 데이터를 파괴한다.
"RAVage is wiping data! RP&muRPhy"
위의 메시지 중에서 RP는 루마니아의 대표적인 바이러스 제작자
이며 Murphy는 그의 고등학교 친구로 알려져있다. 단, 위의 메
시지는 바이러스 내부에 거꾸로 저장되어 있다. 즉 $yhPRum&PR
!atad gnipiw si egaVAR로 저장되어 있다.
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 355번
제 목:[정보] Word97Macro.Groov 바이러스
올린시각:99/02/19 15:38 읽음: 13 관련자료 없음
-----------------------------------------------------------------------------
* Word97Macro.Groov 바이러스
1) 이름: Word97Macro.Groov
2) 다른이름: Word97Macro.Groovie
3) 제작지: 외국
4) 국내발견: 1998년 11월 김금석씨
5) 종류: 워드매크로, 은폐형
6) 증상: GROOVIE.SYS, IP.TXT 파일 생성, 특정 회사의 FTP로
IP.TXT 파일 발송
7) 내용:
감염된 파일이 오픈되면 다른 워드 파일이 오픈될 때 감염시키
며 워드 스타트업 폴더에 DATA.DOT를 생성한다. C:\GROOVIE.SYS
파일을 생성하며 이 파일에는 바이러스 소스를 포함되어 있다.
또한, 스텔스 기법을 사용하는 은폐형 매크로 바이러스로 "도구
(T)/매크로"기능을 삭제해 매크로를 보려고 해도 매크로 명령이
보이지 않으며, 매크로 내용을 변경하기 위해서 Visual Basic
편집기를 사용하면 다음과 같은 메시지를 화면에 출력한다
"?ALT-F11 ?says...
It's GROOVIE!"
감염 후 특이하게 윈도우 NT 시스템에 감염되면 임의의 시간에
C:\IP.TXT 파일을 생성해 특정 FTP 서버로 파일을 발송한다.
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 356번
제 목:[정보] Kill_Me 바이러스
올린시각:99/02/19 15:39 읽음: 37 관련자료 없음
-----------------------------------------------------------------------------
* Kill_Me 바이러스
1) 이름: Kill_Me
2) 다른이름:
3) 제작지: 한국
4) 국내발견: 1999년 1월 정영남씨
5) 종류: 파일 ( COM, EXE ), 상주형, 기생형, 암호화
6) 증상: 7월 13일 파일 삭제, 7월 15일 메시지 출력
7) 내용:
감염된 파일 내부 암호를 풀어보면 'The KillMe Virus Ver 1.0
199?. By Noh.K.S.'와 같은 문자열이 존재해 Kill_Me 바이러스
로 명명되었다.
감염된 파일이 실행되면 기억장소에 상주한 후 실행되는 7760
byte 이상의 COM, EXE 파일을 감염시키며, 감염된 파일 크기는
1972 byte 늘어난다. 단, 파일 이름이 V3, TV, K2, WIN으로 시
작하는 파일은 감염되지 않는다.
감염 후 특징적인 증상은 매년 7월 13일 실행되는 파일을 삭제
한다. 즉, 이날 파일을 실행하면 "Cannot execute 실행한 파일
이름"이 출력된다.
또한, 매년 7월 15일 파일을 실행하면 "The KillMe Virus Ver
1.0 199?. By Noh.K.S."라는 메시지를 출력한다.
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 357번
제 목:[정보] Excel97Macro.Laroux.HO 바이러스
올린시각:99/02/19 15:41 읽음: 36 관련자료 없음
-----------------------------------------------------------------------------
* Excel97Macro.Laroux.HO 바이러스
1) 이름: Excel97Macro.Laroux.HO
2) 다른이름: XM.Laroux.HO, XM/Mars
3) 제작지: 외국
4) 국내발견: 1999년 1월 박완석씨
5) 종류: 엑셀매크로
6) 증상:
7) 내용:
1999년 1월에 발견된 변형 바이러스로 감염된 시스템의 XLSTART
폴더에 PERSONAL.XLS 파일이 생성된다.
감염 후 Auto_Open, Auto_Search 라는 매크로가 생성되지만 감
염 증상 이외의 특별한 증상은 없다.
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 358번
제 목:[정보] 당혹 바이러스
올린시각:99/02/19 15:46 읽음: 64 관련자료 없음
-----------------------------------------------------------------------------
* 당혹 바이러스
1) 이름: 당혹(Quandary)
2) 다른이름: Parity.enc, IHC
3) 제작지: 외국 (1996년 초)
4) 국내발견: 1999년 1월 선영진씨
5) 종류: 부트 (하드 디스크 주부트섹터, 플로피), 은폐형
6) 증상: 기본 메모리 크기 1Kbyte 감소
7) 내용:
1996년 독일 IBM사에서 공급한 'VoiceType Vokabular'라는 디스
켓에 감염되어 확산된 것으로 알려진 바이러스로 현재 전세계적
으로 널리 퍼져있는 바이러스 중 하나이다.
하드 디스크의 주부트섹터와 플로피 디스크를 감염시키며, 은폐
기법을 사용한다. 또한, 일부 백신 프로그램의 인공지능진단을
피하기 위해 바이러스의 일부분을 암호화시켰다.
감염 후 기본 메모리 크기가 1Kbyte 줄어드는 증상 이외에는 별
다른 특징이 없다.
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 359번
제 목:[정보] 알트 엑스.II.2900 바이러스
올린시각:99/02/23 13:34 읽음: 10 관련자료 없음
-----------------------------------------------------------------------------
* 알트 엑스.II.2900 바이러스
1) 이름: 알트 엑스.II.2900(Alt_X.II.2900)
2) 다른이름:
3) 제작지: 한국
4) 국내발견: 1998년 5월 노윤성씨
5) 종류: 부트(주부트섹터), 파일 (COM, EXE), 다형성, 암호화,
기생형, 상주형, 은폐형
6) 증상: 기본 메모리 크기 6 Kbyte 감소. 가끔 부팅시 메시지
출력후 Alt-X 입력 요구
7) 내용:
국내에서 최초로 자체 제작된 부트/파일 바이러스로 1998년 5월
발견되었으며 5월 22일에 제작된 것으로 추정된다.
감염된 파일이 실행되면 기억장소에 상주한 후 실행되는 COM,
EXE 파일을 감염시킨다. COM 파일은 2900 byte 늘어나며, EXE
파일은 16의 배수가 된 후 2900 byte 늘어나므로 2900 ~ 2915
byte 늘어난다.
다형성 바이러스로 간단한 문자열 검사 방법으로는 진단되지 않
으며, 파일 이름이 "ND, V3, ES, TV, T2, WP, AN, PV, OT, IN,
LL"로 끝나는 파일은 감염되지 않는다.
또한, 은폐형 바이러스로 바이러스가 기억장소에 상주해 있으면
주부트섹터를 읽으려고 하면 바이러스가 정상적인 주부트섹터를
대신 보여줘 사용자를 속인다.
가끔 부팅될 때 다음과 같은 메시지가 출력된 후 alt-x 입력을
요구하는데 이때 alt-x를 입력하지 않으면 부팅이 되지 않는다.
"Hello !! ^__^...
alt-x.II version:1 Made by TK-MAN
Enter => alt-x :"
Thanks for useing this progam
Ha Ha yu a babo"
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 360번
제 목:[정보] 알트 엑스.1751 바이러스
올린시각:99/02/23 13:35 읽음: 7 관련자료 없음
-----------------------------------------------------------------------------
* 알트 엑스.1751 바이러스
1) 이름: 알트 엑스.1751(Alt_X.1751)
2) 다른이름:
3) 제작지: 한국
4) 국내발견: 1998년 2월
5) 종류: 파일 ( COM, EXE ), 상주형, 기생형
6) 증상: 비정상적인 키보드 입력 현상. FORMAT 명령 실행시 메
시지 출력후 모든 하드 디스크 포맷 및 CMOS 정보 파괴
7) 내용:
Alt_X 바이러스 시리즈 중 하나로 기존 변형 바이러스에 감염되
면 특정 키보드가 눌린 증상이 나타나지만 이 바이러스에 감염
되면 다음과 같은 백신 프로그램들은(V3, V3RES, SCAN, TV, T2,
HWP, SC, PV, OT) 감염되지 않는다.
COM, EXE 파일에 감염되는 파일 바이러스로 감염된 파일 크기는
1751 byte 늘어나며, 감염된 파일의 작성 날짜가 감염 당시 날
짜로 변경된다.
대부분의 증상은 Alt_X.1309 바이러스와 동일하지만 FORMAT 명
령을 실행하면 "Hello !! my name is ALT-X virus..Version:3
from Taegu....KOREA" 라는 메시지를 출력한 후 시스템에 장착
된 모든 하드 디스크(C->D->E)를 순서대로 포맷한 후 CMOS 데이
터를 파괴하고 재부팅시킨다.
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 361번
제 목:[정보] 알트 엑스.2297 바이러스
올린시각:99/02/23 13:36 읽음: 5 관련자료 없음
-----------------------------------------------------------------------------
* 알트 엑스.2297 바이러스
1) 이름: 알트 엑스.2297(Alt_X.2297)
2) 다른이름:
3) 제작지: 한국
4) 국내발견: 1998년 2월 정민우씨
5) 종류: 파일 ( COM, EXE ), 상주형, 기생형
6) 증상: 비정상적인 키보드 입력 현상. FORMAT 명령 실행시 메
시지 출력후 모든 하드 디스크 포맷 및 CMOS 정보 파괴
7) 내용:
Alt_X.1751 바이러스의 변종으로 증상은 대부분 동일하지만 별
도의 메시지가 추가되어 있으며, 감염된 파일 크기는 2297 byte
늘어난다.
감염 후 특징적인 증상으로 FORMAT 명령을 실행하면 "Hello !!
ALT-X virus.. Verision:4 from Taegu..KOREA" 라는 메시지를
출력한 후 시스템에 장착된 모든 하드 디스크(C->D->E)를 순서
대로 포맷한 후 CMOS 데이터를 파괴하고 재부팅시킨다.
그 외에도 다음과 같은 문자열이 포함되어 있다.
"이 프로그램은 완전 공개입니다.
개인적인 용도로는 절대 사용할수 없으며
이글을 읽는 즉시 프로그램을 변형, 유틸리티로 가장하여
통신망에 마구 올려야 됩니다.
중략)
alt_x.msg"
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 362번
제 목:[정보] 알트 엑스.2606 바이러스
올린시각:99/02/23 13:38 읽음: 4 관련자료 없음
-----------------------------------------------------------------------------
* 알트 엑스.2606 바이러스
1) 이름: 알트 엑스.2606(Alt_X.2606)
2) 다른이름:
3) 제작지: 한국
4) 국내발견: 1998년 2월 김성현씨
5) 종류: 파일 ( COM, EXE ), 상주형, 기생형
6) 증상: 비정상적인 키보드 입력 현상. FORMAT 명령 실행시 메
시지 출력후 모든 하드 디스크 포맷 및 CMOS 정보 파괴
7) 내용:
Alt_X.2297 바이러스의 변종으로 감염 후 증상은 대부분 동일하
며, 메시지가 일부 변형되었다. 감염된 파일 크기는 2606 byte
늘어난다.
감염 후 특징적인 증상으로 FORMAT 명령을 실행하면 "Hello !!
ALT-X virus.. Verision:5 Mode by TK-MAN" 라는 메시지를 출력
한 후 시스템에 장착된 모든 하드 디스크(C->D->E)를 순서대로
포맷한 후 CMOS 데이터를 파괴하고 재부팅시킨다.
그 외에도 다음과 같은 문자열이 포함되어 있다.
"이 프로그램은 완전 공개입니다.
개인적인 용도로는 절대 사용할수 없으며
이글을 읽는 즉시 프로그램을 변형, 유틸리티로 가장하여
통신망에 마구 올려야 됩니다.
중략)
alt_x.msg"
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 363번
제 목:[정보] 알트 엑스.2663 바이러스
올린시각:99/02/23 13:39 읽음: 6 관련자료 없음
-----------------------------------------------------------------------------
* 알트 엑스.2663 바이러스
1) 이름: 알트 엑스.2663(Alt_X.2663)
2) 다른이름:
3) 제작지: 한국
4) 국내발견: 1998년 3월 김영욱씨
5) 종류: 파일 ( COM, EXE ), 상주형, 기생형
6) 증상: 디버거 실행시 메시지 출력후 모든 하드 디스크 포맷
및 CMOS 정보 파괴
7) 내용:
Alt_X.2297 바이러스의 변종으로 감염 후 증상은 대부분 동일하
지만 메시지와 증상이 일부 변형되었다. 감염된 파일의 크기는
2663 byte 늘어난다.
감염 후 특징적인 증상으로 DEBUG.EXE TD.EXE 파일 등 디버거
프로그램을 실행하면 "Hello !! ALT-X virus.. Version:6 from
Taegu..KOREA" 라는 메시지를 출력한 후 시스템에 장착된 모든
하드 디스크(C->D->E)를 순서대로 포맷한 후 CMOS 데이터를 파
괴하고 재부팅시킨다.
그 외에도 다음과 같은 문자열이 포함되어 있다.
"이 프로그램은 완전 공개입니다.
개인적인 용도로는 절대 사용할수 없으며
이글을 읽는 즉시 프로그램을 변형, 유틸리티로 가장하여
통신망에 마구 올려야 됩니다.
만약 이를 어기거나 자료실에 바이러스가 있다고
떠들경우 바이러스 유포 방해죄로
처벌받게 됩니다.
후략)"
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 364번
제 목:[정보] 알트 엑스.2675 바이러스
올린시각:99/02/23 13:39 읽음: 9 관련자료 없음
-----------------------------------------------------------------------------
* 알트 엑스.2675 바이러스
1) 이름: 알트 엑스.2675(Alt_X.2675)
2) 다른이름:
3) 제작지: 한국
4) 국내발견: 1998년 3월 류상욱씨
5) 종류: 파일 ( COM, EXE ), 상주형, 기생형
6) 증상: 비정상적인 키보드 입력 현상. 메시지 출력후 모든 하
드 디스크 포맷 및 CMOS 정보 파괴
7) 내용:
Alt_X.2889 바이러스의 변종으로 감염 후 증상은 대부분 동일하
지만 메시지와 증상이 일부 변형되었다. 감염된 파일의 크기는
2675 byte 늘어난다.
감염 후 특징적인 증상으로 파일 이름 마지막이 M, I로 끝나지
않는 EXE 프로그램을 실행하면 경우에 따라(30분 후부터 1분간
격으로 간헐적으로) "Hello !! ALT-X virus.. Version:8 from
Taegu..KOREA" 라는 메시지를 출력한 후 시스템에 장착된 모든
하드 디스크(C->D->E)를 순서대로 포맷한 후 CMOS 데이터를 파
괴하고 재부팅시킨다.
그 외에도 다음과 같은 문자열이 포함되어 있다.
"이 프로그램은 완전 공개입니다.
개인적인 용도로는 절대 사용할수 없으며
이글을 읽는 즉시 프로그램을 변형, 유틸리티로 가장하여
통신망에 마구 올려야 됩니다.
만약 이를 어기거나 자료실에 바이러스가 있다고
떠들경우 바이러스 유포 방해죄로
처벌받게 됩니다.
~~ 나우누리 바/연/모 를 처단하자 ~~
후략)"
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 365번
제 목:[정보] 알트 엑스.2748 바이러스
올린시각:99/02/23 13:41 읽음: 11 관련자료 없음
-----------------------------------------------------------------------------
* 알트 엑스.2748 바이러스
1) 이름: 알트 엑스.2748(Alt_X.2748)
2) 다른이름:
3) 제작지: 한국
4) 국내발견: 1998년 4월 임성식씨
5) 종류: 파일 ( COM, EXE ), 상주형, 기생형
6) 증상: 비정상적인 키보드 입력 현상. 메시지 출력후 모든 하
드 디스크 포맷 및 CMOS 정보 파괴
7) 내용:
Alt_X.2675 바이러스의 변종으로 감염 후 증상은 대부분 동일하
지만 메시지와 증상이 변형되었고 감염된 파일의 크기는 2748
byte 늘어난다.
감염 후 특징적인 증상으로 파일 확장자가 'CAP, TXT, DOC,
HWP, RAR, ZIP, ARJ, BAT, BTM, WAV, IMS, BNK, JPG, GIF, OVL,
DAT, DLL, DAT, LST, SAV, FNT, DLL, DRV, CPP, ASM, PAS, LIB,
PRJ, OBJ, PCX, GIF, INI, WRI, HLP, IMG, DCF, LZH, MP3, BMP,
ICO'인 경우 "Hello !! ALT_X virus..Verision:9 Made by
TK-MAN(구십팔년4월1일)" 라는 문자열을 파일에 기록하여 파일
을 손상시킨다.
파일 이름에 다음과 같은 두 글자가 포함되어 있으면 'ND, V3,
ES, TV, T2, WP, AN, PV, OT, HE, IN, LL' 감염에서 제외되며,
경우에 따라(30분 후부터 1분 간격으로 간헐적으로) "Hello !!
ALT_X virus..Verision:9 Made by TK-MAN (구십팔년4월1일)" 라
는 메시지를 출력한 후 시스템에 장착된 모든 하드 디스크
(C->D->E)를 순서대로 포맷한 후 CMOS 데이터를 파괴하고 재부
팅시킨다.
그 외에도 다음과 같은 문자열이 포함되어 있다.
"잇세사~앙에 철수 없으면 무슨 재미로~~오~~
해가 떠도 철수! 달이 떠도 철수!
처~얼수가 최고야--..
마자! 마자!
오..우! 예..원모 타임..에버리~바디..!
마자! 마자!
처~얼수가 최고야--..
~~ 철수야 놀자 ~~
노래 저작권은 TK-MAN 에게 있음..땡큐"
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 366번
제 목:[정보] 알트 엑스.2889 바이러스
올린시각:99/02/23 13:44 읽음: 29 관련자료 없음
-----------------------------------------------------------------------------
* 알트 엑스.2889 바이러스
1) 이름: 알트 엑스.2889(Alt_X.2889)
2) 다른이름:
3) 제작지: 한국
4) 국내발견: 1998년 3월 오상훈씨
5) 종류: 파일 ( COM, EXE ), 상주형, 기생형
6) 증상: 비정상적인 키보드 입력 현상. 디버거 실행시 메시지
출력후 모든 하드 디스크 포맷 및 CMOS 정보 파괴
7) 내용:
Alt_X.2663 바이러스의 변종으로 감염 후 증상은 대부분 동일하
지만 메시지와 증상이 일부 변형되었다. 감염된 파일의 크기는
2889 byte 늘어난다.
감염 후 특징적인 증상으로 DEBUG.EXE TD.EXE 파일 등 디버거
프로그램을 실행하면 "Hello !! ALT-X virus.. Version:8 from
Taegu..KOREA" 라는 메시지를 출력한 후 시스템에 장착된 모든
하드 디스크(C->D->E)를 순서대로 포맷한 후 CMOS 데이터를 파
괴하고 재부팅시킨다.
그 외에도 다음과 같은 문자열이 포함되어 있다.
"이 프로그램은 완전 공개입니다.
개인적인 용도로는 절대 사용할수 없으며
이글을 읽는 즉시 프로그램을 변형, 유틸리티로 가장하여
통신망에 마구 올려야 됩니다.
만약 이를 어기거나 자료실에 바이러스가 있다고
떠들경우 바이러스 유포 방해죄로
처벌받게 됩니다.
~~ 푸하하 ~~
또한 양심불량자 블랙리스트에 올라가게 되어
PC통신 이용에 상당한 불이익을 당할수가 있읍니다..
후략)"
『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 367번
제 목:[정보] I-Worm.Happy99 바이러스
올린시각:99/02/26 15:26 읽음: 8 관련자료 없음
-----------------------------------------------------------------------------
* I-Worm.Happy99 바이러스
1) 이름: I-Worm.Happy99
2) 다른이름: Happy99.Worm, W32/SKA.EXE, W95/Happy99.Trojan
3) 제작지: 1999년 1월
4) 국내발견: 1999년 2월
5) 종류: 웜, 상주형
6) 증상: 폭죽 터지는 동영상 출력, 전자 우편으로 HAPPY99.EXE
파일 전송
7) 내용:
1999년 1월 인터넷 뉴스그룹을 통해 유럽지역을 중심으로 널리
확산되고 있으며, 우리 나라에서도 2월 발견된 이후 널리 확산
되고 있다.
HAPPY99.EXE 파일은 다른 파일은 감염시키지 않는 웜(Worm)으로
사용자가 보낸 E-Mail 주소로 HAPPY99.EXE 파일을 첨부해 전송
하므로 자기 자신을 전파시킨다. 첨부된 HAPPY99.EXE 파일을 실
수로 실행하면 폭죽이 터지는 동영상 화면이 나와 신년 축하 유
틸리티 등으로 착각하기 쉽다.
그 과정 중에서 윈도우의 SYSTEM 폴더에 SKA.EXE, SKA.DLL 파일
을 생성시키고, 인터넷 관련 WSOCK32.DLL 파일을 WSOCK32.SKA
파일로 변경(백업)하여 E-Mail 발송시 HAPPY99.EXE 파일이 첨부
되도록 WSOCK32.DLL 파일을 변형시킨다.
WSOCK32.DLL 파일이 변형되므로 OUT LOOK 등 E-Mail 프로그램에
서 오동작이 일어날 수 있으며, 첨부 파일을 전송하므로 그만큼
인터넷 속도가 저하되게 된다. 또한, HAPPY99.EXE 파일을 전송
한 E-mail 주소의 내역은 LISTE.SKA 파일로 저장해 든다.
다른 파일에는 감염되지 않으므로 HAPPY99.EXE 파일과 SKA.EXE,
SKA.DLL 파일을 삭제한 후 변형된 WSOCK32.SKA 파일의 확장자를
원래대로 변경하면 된다.
그러나 이미 HAPPY99.EXE에 의해 변형된 WSOCK32.DLL 파일은 인
터넷 프로그램을 수행하는데 대부분 사용되므로 인터넷 관련 프
로그램이 실행되고 있으면 삭제되지 않는다. 이런 경우는 인터
넷 관련 프로그램들을 모두 종료시킨 후 삭제하거나 도스 모드
에서 삭제해야 한다.
HAPPY99.EXE에 의해 다시 WSOCK32.DLL 파일이 변경되는 것을 예
방하려면 WSOCK32.DLL 파일의 속성을 읽기전용으로 변경시키면
된다(도스 상태에서 "ATTRIB +R WSOCK32.DLL" 라고 명령을 주면
읽기전용 속성으로 변경된다.).