Re:바이러스가 계속 나와요..

[정진왕]

이 바이러스는 메모리에 상주하며 .exe와 .scr파일에 증식하며 자기 자신의 변이가 가능한 바이러스입니다.
이 바이러스는 mapping되고 있는 드라이브 및 네트워크 공유로도 감염을 시킵니다.
또한 자기 변이를 거치기 때문에 제거가 되어보여도 자기 증식을 하는 악성바이러스입니다.

다른 명칭 : win32.parite.a[KAV], W32/pate.a[Mcafee], Win32.pinfi.A[CA], PE_Parite[Trend], W32/Parite-A[Sophos], Win32/Parite[RAV] ([ ]의 내용은 백신 업체들의 명칭입니다)

종류 : 바이러스
감염사이즈 : 177,917 byte
영향을 받는 시스템 : 윈도우95, 98, NT, 2000, XP, Me
영향을 받지않는 시스템 : Mac, OS/2, UNIX, Linux
감염형태 : 위에서 말씀드린 것처럼 mapping드라이브 및 네트워크를 통해 전파됩니다.

이 바이러스에 감염된 파일이 실행되면 다음과 같은 실행을 합니다.

1. 레지스트리 값을
PINF

다음 레지스트리（registry） 키（key）에 추가합니다．

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer

2. 자기자신을 explorer.exe의 말미에 부가시켜 메모리에 상주합니다.

3. 모든 로컬드라이브 및 mapping되고 있는 드라이브 다음 발견한 모든
exe파일 및 scr파일에 자기자신을 복제합니다. 이 바이러스에는 감염속도를 느리게하는 알고리즘이 포함되기 때문에 한번에 다량으로 감염되지는 않습니다.

4. 이 바이러스는 temporary folder에 일시적인 파일을 작성하며 temporary folder는 windows API를 사용하고 취득합니다. 이 바이러스가 일시적으로 만든 임시파일에는 다음 형식의 파일명이 사용됩니다.
[랜덤한 3문자][랜덤한 4개의 16진수].tmp
이때 바이러스가 작성한 파일은 UPX로 압축되고 있는 실행 형식 파일입니다. 바이러스는 작성된 임시파일을 사용, 네트워크 공유를 이룡하여 다른 곳에 파일을 감염을 시도합니다.

제거방법은 우선적으로 안전모드로 부팅하여(NT의 경우 VGA모드) 사용중인 백신으로 감염된 파일을 찾아 내신 후 제거하시기 바랍니다.
그 이후 레지스트리의 값을 삭제하여야 합니다.
레지스트리 부분의 수정은 잘못할 경우 시스템의 정지 및 데이터의 삭제가 예상되므로 반드시 백업을 하신 후 실시하시기 바랍니다.
레지스트리의 수정은 다음과 같습니다.

1. 시작 버튼을 누르고 실행을 선택합니다.
2. 실행 란에 regedit라고 입력 후 확인을 누릅니다.
3. 다음 레지스트리 값을 찾으시기 바랍니다.
KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
4. 이 키값을 선택하신 후 화면 우측에 보시면 pinf라는 것이 있습니다.
이 값을 삭제하시기 바랍니다.
5. 레지스트리 에디터를 종료하신 후 재부팅하시기 바랍니다.

이 바이러스에 대한 질문이 무척 많이 올라오는데요..
지식인에 질문 전 지식검색서비스로 미리 내용을 찾아보시는 것도 좋은 방법입니다.
검색으로 찾은 결과가 빠를 경우 바이러스로부터의 피해시간도 최소화 할 수 있으니까요..^^

바이러스로부터 최선의 방어는 정품백신의 사용과 최신 바이러스 정의의 사용입니다.
도움이 되시길 바랍니다.

[컴초보임]

레지스트리가 자꾸 자동으로 꺼지는데요??

[정진왕]

잘안되시면 노턴2003 이나 v3 를 받아서 하세요. v3 2002 못구하시면 v3 30일 평가판이라도 안철수 연구소에서 받으시던지요.

[정진왕]

중복감염이나 os손상이나 뭐 다른 변수가 있나보죠..