* 수동검사와 시스템 감시시 반드시 모든 파일 검사로 설정한다.
* \windows\system\ 폴더에 riched20.dll이 감염되어 백신에서 삭제된 경우라면 동일한 윈도우 버전에서 파일을 구하여 \windows\system 폴더에 복사한다. 윈도우 NT, 2000 이라면 \Winnt\system32\ 폴더이다.
- V3+ Neo 사용자
1. 공유된 드라이브를 모두 해제한다.
2. \windows\system.ini 파일을 편집기로 열어 load.exe -dontrunold 항목만 삭제한다.
3. 도스 모드로 부팅후 V3+ Neo를 이용하여 모든 파일 검사(/A)를 하여 진단된 파일은삭제한다.
4. 아웃룩 패치를 실행한다. (하단 주의사항 참조)
- V3Pro 2000 Deluxe, Win 9x 사용자
1. V3Pro 2000을 이용해 (모든 파일 검사)를 수행한다.
2. 진단된 load.exe 파일을 '강제 종료후 삭제'를 수행해 삭제한다.
3. V3Pro 2000의 시스템 감시 기능을 모든 파일로 설정한다.
4. 치료가 완료된 후 공유된 폴더 해제를 위해 재부팅을 요구하면 시스템을 재부팅한 후 다시 한 번 모든 파일을 대상으로 바이러스 검사를 수행한다.
5. 아웃룩 패치를 수행한다. (하단 주의사항 참조)
- V3Net/Pro 2000, Windows NT / Windows 2000 사용자
1. 모든 파일을 대상으로 바이러스 검사를 수행한다.
2. 진단된 파일을 삭제한다.
3. IIS 패치와 아웃룩 패치를 수행한다. (하단 주의사항 참조)
4. Guest 계정이 Administrator 그룹에 속해 있는지 확인해 보고 있다면 빼준다.
(1) 공유되어 있는 폴더를 해제한다.
(2) 시스템에 *.eml 파일들이 있는지 확인하여 삭제한다.
(3) 시스템에 *.nws 파일들이 있는지 확인하여 삭제한다.
2. 존재하는 경우
(1) 공유되어 있는 폴더를 해제한다.
(2) 윈도우 [시작]-[실행]에서 'system.ini'를 입력한다.
(3) system.ini의 내용 중 'Shell = explorer.exe load.exe -dontrunold'로 되어 있는 부분을 'Shell = explorer.exe'로 수정한다.
(4) 시스템을 재부팅한다.
(5) C:\Windows\System 폴더에 있는 load.exe(57,344바이트) 파일을 삭제한다.
(6) C:\Windows\System 폴더에 있는 riched20.dll(57,344바이트, 숨김속성) 파일을 삭제한다.
- 정상적인 riched20.dll 파일이 존재할 수 있으므로 반드시 파일크기를 확인한 후 삭제해야한다.
(7) 시스템에 *.eml 파일들이 있는지 확인하여 삭제한다.
(8) 시스템에 *.nws 파일들이 있는지 확인하여 삭제한다.
* 공유폴더를 설정해 놓을 경우 네트워크를 통해 재감염이 될 수 있으므로, 반드시 해제후 사용해야한다.
* 공유된 폴더나 드라이브에 *.eml, *.nws, riched20.dll 파일이 다수 생성되므로 이 역시 삭제해 주어야 한다. 이는 클라이언트에서 하는 것이 아니라 파일 서버등으로 사용하는 NT/200 시스템에서 관리자가 직접 삭제하는 것이 좋다.
참고사항 * IIS 웹 서버를 운영할 경우 아래의 내용의 취약점을 이용하여 웜에 감염되기도 한다. 따라서 다음의 취약점에 대한 패치를 반드시 해주어야한다.
* 웜이 첨부된 메일을(또는 확장자 *.NWS 파일을) 읽기만 하거나 미리보기 하여도 웜에 감염되는 것은 "Incorrect MIME Header Can Cause IE to Execute E-mailAttachment" 취약점 때문이며 다음의 사이트를 참고하여 반드시 패치한다.