안녕하십니까? 깡구입니다.
<br>
<br>
그제 신종 바이러스가 각 ISP업체의 메일서버를 통해 국내에 유포되고 있습니다.
<br>
<br>
아래를 자세히 읽어 보시고 바이러스로 인해 피해를 입지 않도록 주의 부탁드립니다.
<br>
<br>
VBS/Loveletter는 외국산 스크립트 바이러스로, 2000년 5월 4일 처음 발견되었으며 국내에서도 같은 날 발견되었습니다.
<br>
<br>
VBS(Visual Basic Script)로 작성되었으며 윈도우 98에서 탐색기로 클릭할 때 실행됩니다.
<br>
<br>
실행되면 윈도우 시스템 폴더(보통 C:\WINDOWS\SYSTEM)에 'MSKernel32.vbs' 윈도우 폴더(보통 C:\WINDOWS)에 'Win32DLL.vbs,'LOVE-LETTER-FOR-YOU.TXT.vbs' 등의 파일을 만듭니다.
<br>
그리고 레지스트리를 변경해 윈도우가 부팅될 때마다 자동으로 실행하게 만듭니다.
<br>
<br>
하드 디스크를 뒤져 확장자가 VBS나 VBE인 파일을 이 바이러스로 겹쳐 써 버립니다.
<br>
<br>
하드 디스크의 파일을 찾는 과정에서 'MIRC32.EXE'나 'MLINK32.EXE' 파일을 찾으면 그 폴더에 SCRIPT.INI(337바이트) 파일을 생성합니다.
<br>
<br>
이후 mIRC로 IRC(Internet Relay Chat. 인터넷을 통해 구축된 대화방) 채팅을 할 경우 'LOVE-LETTER-FOR-YOU.HTM'을 다른 사람에게 퍼뜨립니다.
<br>
<br>
사용자가 LOVE-LETTER-FOR-YOU.HTM을 익스플로러로 읽을 경우 "이 페이지를 일부 소프트웨어(ActiveX 컨트롤)는 안전하지 않을 수 있어 실행하지 않는 것이 좋습니다. 실행을 허용하시겠습니까?"와 같은 보안 경고창이 뜨고 "This HTML file need ActiveX control", "To Enable to read this HTML file - Please press YES button to Enable ActiveX"를 출력해 실행하도록 유도합니다.
<br>
<br>
이때 "예"를 누르면 바이러스가 하드 디스크로 퍼지게 됩니다.
<br>
<br>
E-mail로 퍼뜨리는 기능도 있어 아웃룩이나 아웃룩 익스프레스를 사용할 경우 다음 메일을 전송합니다.
<br>
<br>
-----------------------------------------------------
<br>
제목 : ILOVEYOU
<br>
내용 : kindly check the attached LOVELETTER coming from me.
<br>
첨부 파일 : LOVE-LETTER-FOR-YOU.TXT.vbs
<br>
-----------------------------------------------------
<br>
<br>
감염된 파일을 삭제하는 것으로 가능하며, 일단 겹쳐 써진 VBS 파일은 복구가 불가능하므로 다른 PC에서 복사해와야 합니다.
<br>
<br>
이미 열어 보신분은
<br>
network cable을 pc본체에서 분리하신 다음
<br>
다음과 같은 방법으로 처리를 해주시기 바랍니다 .
<br>
(5번 작업까지 끝나기 전에는 절대 network cable을 pc에 연결하시면 안됩니다. )
<br>
<br>
1) ctrl + alt + del 키를 동시 에 눌러서 "wscript.exe" 라는 프로세스를 죽입니다.
<br>
현재 돌고 있는 바이러스 프로그램을 죽입니다.
<br>
<br>
2) windows 98 에서는 c:\windows , c:\windows\system 밑에 있는
<br>
windows nt 에서는 c:\winnt , c:\winnt\system32 밑에 있는
<br>
mskernal32.vbs , LOVE-LETTER-FOR-YOU.TXT.vbs , LOVE-LETTER-FOR-YOU.HTM, Win32DLL.vbs 화일을
<br>
"Read only " 속성을 없앤 다음 삭제합니다.
<br>
<br>
3) 하드디스크에 있는 모든
<br>
"*.vbs" , "*.vbe" ,"*.js" , "*.jse" , "*.css" , "*.wsh" , "*.sct" , "*.hta" , "*.jpeg", "*.jpg" , "*.mp3", "*.mp2"
<br>
중 그 크기가 10,307 B ( 10.0KB) 와 같은것은 모두 삭제 하십시오 .
<br>
이 바이러스 프로그램이 자기 자신을 위와 같은 화일로 복제해 놓습니다.
<br>
<br>
4) "실행" -> "REGEDIT" 를 통해서 다음 registraty 를 삭제합니다.
<br>
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32"
<br>
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL"
<br>
<br>
<br>
5) 컴퓨터를 rebooting 합니다.
<br>
ctrl + alt + del 키를 동시 에 눌러서 "wscript.exe" 라는 프로세스가 다시 실행되고 있는지 확인합니다.
<br>
다시 실행 하고 있으면 1번 부터 다시 반복합니다.
<br>
<br>
감사합니다.
<br>
<br>
<!-- -->
