Re:[하지] 여러분도 조시하세요(님다바이러스에 관해).

이~~ 그저께 저녁..(8월 19일) 이 바이러스에 울집 컴퓨터가 당했었습니다.. 담날 아침에 뉴스와 신문에 나오더라구요.. 흠.. 저 바이러스는 전염 속도가 빠르더라구요.. 다들 조심하시구요.. 걸렸다 싶으면 안철수 바이러스 연구소 아시죠..? 거기에 가면 치료법이 나왔으니깐 치료 하시구요.. 저는 저거에 걸린다음 컴이 계속 따운되서 고생좀 했습니당.. 지금은 치료 했구요.. 그러니 다들 조심..또 조심 하시길.. --------------------- [원본 메세지] --------------------- 님다 바이러스에 대해... 이름 : Win32/Nimda.worm 감염시 위험도 : 2등급(위험) 종류 : 웜 유형 : 윈도우파일 국내발견일 : 2001-09-18 제작국 : 불분명 특정활동일 : 특정일 활동 없음 내용 Win32/Nimda.worm은 2001년 9월 18일 처음발견 되었으며 같은 날 저녁 국내에서도 발견되었다. 모든 윈도우 OS 가 감염대상이 되며 메일로 전파된다. 메일에 첨부되는 파일명은 Readme.exe (57,344 바이트) 이며 그 제목은 다양한데 감염된 사용자 PC의 파일명에서 얻어오며 웜을 전파시키기 위해 인터넷 임시 폴더내 HTM, HTML 파일을 뒤져 주소을 얻어온다. 메일에 첨부된 Readme.exe 파일을 실행하거나 메일을 읽어 보아도 (미리 보기 하여도) 이 웜에 감염될 수 있다. 또한 감염된 시스템의 모든 로컬 드라이브 (CD-ROM 드라이브 포함)가 공유되므로 보안상 문제가 될 수 있다. 윈도우 NT/2000 경우에는 IIS 취약점을 이용하기도 하며 모든 드라이브 루트에 Admin.dll (57,344 바이트) 파일을 생성해 놓는다. * 이 정보는 2001년 9월 18일 10시 30분에 작성된 정보이며 이후 수정되고 업데이트될 예정이다. ============================================================ 이 바이러스의 코드 내부에서 아래와 같은 문자열이 있습니다. Concept Virus(CV) V.5, Copyright(C)2001 R.P.China ============================================================ ***수동 치료 [윈도우 95/98/ME 계열] C:\Windows\System 폴더에 load.exe(57,344바이트) 파일이 존재하는지 확인하십시오. 1. 존재하지 않을 경우 (1) 공유되어 있는 폴더를 해제합니다. (2) 시스템에 *.eml 파일들이 있는지 확인하여 삭제하십시오. (3) 시스템에 *.nwz 파일들이 있는지 확인하여 삭제하십시오. 2. 존재하는 경우 (1) 공유되어 있는 폴더를 해제합니다. (2) 윈도우 [시작]-[실행]에서 'system.ini'를 입력합니다. (3) system.ini의 내용 중 'Shell = explorer.exe load.exe -dontrunold'로 되어 있는 부분을 'Shell = explorer.exe'로 수정합니다. (4) 시스템을 재부팅합니다. (5) C:\Windows\System 폴더에 있는 load.exe(57,344바이트) 파일을 삭제합니다. (6) C:\Windows\System 폴더에 있는 riched20.dll(57,344바이트, 숨김속성) 파일을 삭제합니다. load.exe를 찾기전에 탐색기의 [보기]-[폴더옵션]-[보기]-[모든파일 표시]를 체크하셔야 합니다. - 정상적인 riched20.dll 파일이 존재할 수 있으므로 반드시 파일크기를 확인한 후 삭제하시기 바랍니다. (7) 시스템에 *.eml 파일들이 있는지 확인하여 삭제하십시오. (8) 시스템에 *.nwz 파일들이 있는지 확인하여 삭제하십시오. * 공유폴더를 설정해 놓을 경우 네트워크를 통해 재감염이 될 수 있으므로, 반드시 해제하고 사용하시기 바랍니다. 참고사항 * IIS 웹 서버를 운영할 경우 아래의 내용의 취약점을 이용하여 웜이 전파되기도 한다. 따라서 다음의 취약점에 대한 패치를 해주어야한다. <a href="http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp" target=nlink>http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp</a> * 웜이 첨부된 메일을(또는 확장자 *.NWS 파일을) 읽기만 하거나 미리보기 하여도 웜에 감염되는 것은 "Incorrect MIME Header Can Cause IE to Execute E-mailAttachment" 취약점 때문이며 다음의 사이트를 참고하도록 한다. <a href="http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp" target=nlink>http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp</a> =========================================================== **수동으로 하기 전에 유의점 Nimda 바이러스가 탐색기의 설정을 마음대로 바꾸는군요. load.exe를 찾기전에 탐색기의 [보기]-[폴더옵션]-[보기]-[모든파일 표시]를 체크하셔야 하네요.. ---------------------------------------------------------- 미국에서 발생된 컴퓨터 바이러스 님다가 국내에서도 백여건의 피해신고가 접수되는등 급속히 확산되고 있습니다. 바이러스 님다는 이메일뿐 아니라 공유 디렉토리와 감염된웹서버등 복합적인 경로를 통해 전파되고 있으며 이메일에 첨부된 파일을 실행 하지 않고 ***이메일을 여는것만으로도*** 감염 될수 있는 악성 바이러스입니다. 따라서 pc이용자들은 출처불명의 "Readme.exe" 첨부파일이 들어있는 이메일은 열어보지말고 곧바로 삭제해야 바이러스 피해를 줄일수 있습니다.