□ 개요
o 감염시 PC 시간을 변경하고 특정 서버로부터 명령을 전달받아 악의적인 기능을 수행하는
IRC 봇에 의한 국내 PC 사용자들의 피해 사례가 발생하고 있어 일반 PC 사용자들의
주의가 요구됨
o 일명, 2090 악성코드로 불리는 이 악성코드는 윈도우즈 취약점과 이동형 저장장치를
이용하여 확산을 시도하며 악성코드 실행시 설치되는 루트킷이 시스템 파일과 충돌을
일으켜 감염 PC가 멈추거나 정상적으로 동작하지 않음
□ 악성코드의 전파 경로
o 이동형 저장장치의 자동 실행(Autorun)을 통하여 전파
o 윈도우즈 취약점을 이용한 네트워크 전파 시도
□ 악성코드 피해 증상
o PC 시간을 2090년 1월 1일 오전 10시로 변경함
o 추가 악성행위를 수행하기 위하여 특정 서버로 접속 시도
o 시스템이 멈추거나 강제 재부팅됨
o 재부팅 후 로그인이 정상적으로 진행되지 않고 무한 반복 시도 현상이 나타남
□ 악성코드 감염 확인
o PC 시간이 2090년 1월 1일 오전 10시로 변경되었는지 확인
o Ctrl+Alt+Del 키를 눌러 Windows 작업 관리자를 실행시키고, 프로세스 탭을 선택하여
system.exe이라는 이미지 이름을 가지고 있는 프로세스가 있는지 확인한다.
□ 조치 방법
o 악성코드 치료 전용백신 이용
※ 백신 사용 시, 최신 업데이트를 확인하시고 정밀 검사를 수행
- 안철수연구소
http://kr.ahnlab.com/downLoadFreeVaccine.ahn?filename=v3aimbot.exe
- 뉴테크웨이브
http://www.viruschaser.com/upload/Vscan.zip
- 잉카인터넷
http://pds.nprotect.co.kr/pds/scan/nProtectEAV2090.com
- 이스트소프트
http://aldn.altools.co.kr/altools/ALYac13.exe
- 하우리
http://download.hauri.net/DownSource/down/dwn_antivirus_down.html?uid=58
- PC그린
http://cdn.naver.com/naver/PcGreen/NPCGreenInstFull.exe
o 수동 복구
- 악성코드에 의해 생성된 파일의 이름이 일정치 않아 수동으로 복구하기 어려우므로
전용 백신의 사용을 권장함
□ 예방 방법
o 일반 인터넷 이용자
- 현재까지 나온 모든 보안업데이트 적용하여 윈도우즈 최신 업데이트 유지
※ 특히, MS08-067 보안업데이트[7]와 같은 중요 업데이트 필수 설치
※ 윈도우즈 자동 업데이트 설정
① 바탕화면의 내 컴퓨터 아이콘을 선택하고 오른쪽 버튼 클릭 후 속성 클릭
② 시스템 등록 정보 대화 상자에서 자동 업데이트 탭을 선택
③ 자동(권장) 선택 후 확인 버튼 클릭
- 불필요한 파일 공유는 제거하고, 필요하다면 적절한 권한 제어와 유추하기 힘든
비밀번호를 설정
- 자동 실행 기능을 사용하지 않도록 설정[8],[9]하여 이동식 드라이브의 실행 파일이
자동으로 실행되는 것을 방지
- 개인 방화벽 및 백신 사용의 생활화 및 최신 업데이트 유지
□ 용어 설명
o IRC 봇
- IRC(Internet Relay Chat) 네트워크에 클라이언트로 접속하는 독립된 스크립트
또는 프로그램으로, IRC 서버에 접속하여 명령을 전달받아 자동화된 기능을 수행함
o 루트킷
- 시스템의 관리자 계정 권한을 해당 시스템의 주인이나 관리자의 허락 없이 얻기 위해
만들어진 프로그램로써 일반적인 프로그램이 수행할 수 없는 기능을 수행할 수 있음
o 자동 실행(Autorun)
- 사용자가 쉽게 프로그램을 설치할 수 있도록 마이크로소프트 윈도우즈에서 제공하는
기능. 윈도우즈 기반 컴퓨터용으로 설계되고 USB, CD, DVD와 같은 이동 매체로
배포되는 응용 프로그램을 설치/구성하거나 실행하는 절차를 자동화한 것
□ 참조사이트
[1] http://kr.ahnlab.com/info/smart2u/virus_detail_25902.html
[2] http://www.viruschaser.com/main/security/VCInfo_Dt.jsp?no=702¬iceType=A
[3] http://www.hauri.co.kr/virus/info/search_virus03.html?menu=UTE=&code=TRW3001095&cpage=1
[4] http://alyac.altools.co.kr/etc/Notice_Contents.aspx?idx=113
[5] http://megadoctor.megapass.net/part4/notice_view.jsp?key=28
[6] http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx
[7] http://www.krcert.or.kr/secureNoticeView.do?num=288&seq=-1
[8] http://support.microsoft.com/kb/953252/
[9] http://support.microsoft.com/kb/950582/
'PC 관련 정보' 카테고리의 다른 글
Windows 7 웰페이퍼(바탕화면) (2) | 2009.06.18 |
---|---|
윈도 비스타 서비스팩 2 설치하면 디스크 여유공간 늘어나는 것으로 알려져... (0) | 2009.06.10 |
Windows Server 2008 서비스팩2 및 Windows Vista 서비스팩2 (0) | 2009.06.09 |
Windows 7 RC 버전의 언어 패키지(한국어 포함)를 Windows Update를 통해 배포! (0) | 2009.05.30 |
Windows 7 에는 나라별 테마도 있다? 없다? (2) | 2009.05.28 |
Windows 7 웰페이퍼(바탕화면) (0) | 2008.11.09 |
W스타일샵 '블로거 특강'을 맛보다! (0) | 2008.11.07 |
정보유출과 DLP(Data Loss Prevention, 데이터 손실 방지) (0) | 2008.11.07 |
한국MS, 불법 윈도우XP 사용시 블랙스크린 적용 (0) | 2008.11.02 |
인터넷익스플로러7 (IE7) 단축키 활용하기 (0) | 2008.10.10 |