[정보] Coconut Security News (91) - 금주의 컴퓨터 바이러스 주의보

[이형영]

 

안녕하십니까. 정보보안 서비스 전문업체 (주)코코넛입니다.

 

한가위 잘들 보내셨나요?

한해동안 노력한 땀의 결실을 감사하는 추석이 지났으니, 한해의 끝을 멀리서 바라보는 요즘 다시한번

의지를 세우고 노력할때라고 생각합니다.

 

  감사합니다.

 

 목  차

 

-----------
  보안 뉴스
-----------

 1. 9.11 테러 1주년 '쳇(Chet)' 바이러스 등장   

 2. 컴퓨터범죄 급증 

 3. 9.11 테러 위장 바이러스 등장 

 4. 8월 해킹 바이러스 피해 현황 

 5. 'Chet' 웜 바이러스, 주의예보 발령 

 6. 'MS 워드'에도 보안 결함 

 7. 새로운 리눅스 웜, 국내 유입 

 8. 워크래프트 버전3 맵핵1.02’에 바이러스 발견...개인정보 유출 우려 

 9. [워크래프트 맵핵 바이러스 감염] 'Trojan.KeyLogger'는 어떤 바이러스인가    

 10. 워크래프트3 맵핵 파일 바이러스 논란 

 

-----------------------------------------------------
   바이러스 예보(9/22 ∼ 9/28) - 자료협조: 안철수연구소
-----------------------------------------------------

 

1. 이주에 활동할 바이러스

 

* 9월 22일 (일요일) Euthanasia, Euthanasia_II, Euthanasia_III  
* 9월 23일 (월요일) VBS/Valentin, VBS/San  
* 9월 24일 (화요일) Form  
* 9월 25일 (수요일) X97M/HJB.M, X97M/HJB.I, X97M/BDoc2, X97M/BDoc2.B, W97M/Opey.AX  
* 9월 26일 (목요일) Win95/CIH.1035

2. 이주에 주의할 바이러스      

 

(1) 9월 22일 
    * Euthanasia

 

(2) 9월 25일 
    * X97M/HJB.I

    * W97M/Opey.AX

 

(3) 9월 26일

    * Win95/CIH.1035

  

-------------------

  코코넛 추천 서비스
------------------- 

 

SkyScan AV Service (신개념의 바이러스 스캐닝 서비스)

 

 

 

<보안 뉴스>

 

==================================== 
1. 9.11 테러 1주년 '쳇(Chet)' 바이러스 등장 

==================================== 

 

 9.11 테러 발생 1주년에 맞춰 ‘11september.exe’라는 실행파일이 첨부된 '쳇(chet)' 바이러스가 등장했다.

 

한국네트워크어쏘시에이츠(대표 문경일)는 11일 9.11 테러 발생 1주년에 맞춰 신종 ‘쳇’ (W32/Chet)바이러스가 등장했다고 발표했다.

 

네트워크어쏘시에이츠 산하 바이러스 연구기관인 애버트 연구소에 따르면 러시아에서 만들어진 '쳇’ 바이러스는 main@world.com">main@world.com이란 발신자와 ‘All people!’이란 메일제목으로 전송된다.

 

또한 ‘11september.exe’라는 실행파일이 첨부돼 있다.

 

사용자가 첨부파일을 클릭하면 컴퓨터의 윈도우 주소록이나 아웃룩 주소록에 있는 모든 사용자들에게 메일을 발송하게 된다.

 

‘신사숙녀 여러분 (Dear ladies and gentleman!)’이란 문구로 시작하는 쳇 바이러스 메일 메시지는 지난 해 있었던 9.11 테러가 미 정부와 빈 라덴간의 합동작전이었다고 설명하며, 진실을 알고 싶으면 첨부파일을 실행해 증거자료들을 보라고 말한다.

 

하지만 애버트 연구소는 "쳇 바이러스는 웜으로 위험도가 낮고, 바이러스 자체 오류로 큰 피해를 입히지 않을 것"이라고 밝혔다.

 

또 "네트워크어쏘시에이츠의 맥아피 바이러스스캔 사용자들은 맥아피 웹사이트 (http://www.mcafeeb2b.com 또는 http://www.mcafeeb2b.com/naicommon/avert/avert-research-center/virus-4d.asp)에서 백신을 무료로 제공받을 수 있다"고 설명했다. 
  

9/11                                                        inews24                                            <김현아기자> 

 

================

2. 컴퓨터범죄 급증 

================

 

해킹이나 전산업무 방해 등 컴퓨터범죄가 크게 증가한 것으로 나타났다.
대검 컴퓨터수사과는 올들어 지난달까지 4398건의 컴퓨터 범죄를 단속했다고 11일 밝혔다. 이는 지난해 같은기간(1~8월) 1629건의 2.7배, 2000년 한해동안 적발된 1629건의 4배에 달하는 것이다. 특히 지난해 331명이 구속됐지만 올 8월까지 이미 429명이 구속된 것으로 나타났다. 컴퓨터범죄 적발은 해킹 등 정보통신망법 위반이 3566건으로가장 많았고 △컴퓨터사용사기 586건 △전자문서관련 범죄 165건 등이 뒤를 이었다.

 

한편 대검 중수부는 이날 컴퓨터범죄 단속을 위해 검찰 경찰 정보통신부 국가정보원 등 15개 부처 및 기관이 참석하는 '컴퓨터범죄 유관기관 실무협의회'를 구성해 활동에 착수했다.

 

9/11                                                              매일경제                                     <김병호 기자>

 

 

===========================
 3 . 9.11 테러 위장 바이러스 등장 

============================ 
 

 한국NA(대표 문경일)는 미국 9·11테러에 대한 사람들의 관심을 이용한 쳇바이러스(W32/Chet)가 등장했다고 11일 밝혔다.
러시아에서 만들어진 이 바이러스는 전자우편에 파일로 첨부돼 확산된다. 전자우편 발신자는 ‘main@world.com’이며">main@world.com’이며 제목은 ‘All people!’이다. 전자우편의 내용은 ‘9·11 테러가 미 정부와 빈 라덴간에 합동작전이며 이에 대한 진실을 알고 싶으면 첨부파일을 실행해 증거자료들을 보라’는 것이다. 컴퓨터 사용자가 ‘11september.exe’라는 파일을 실행하면 바이러스에 감염된다.
데이터 파괴 등 치명적인 감염 증상은 나타나지 않지만 전자우편 프로그램의 주소록에 등록된 사람에게 바이러스 전자우편을 보낸다. 이 바이러스는 아직 국내에 들어오지 않았다. 
 

9/12                                                 전자신문                                                      <장동준기자> 

 

 

 ==========================
 4 . 8월 해킹 바이러스 피해 현황 

 ==========================

 

지난 8월에는 해킹과 바이러스 피해 모두 소폭 감소했다. 하지만 해킹피해의 경우 최고치를 기록한 지난 7월에 이어 역대 2위를 기록했고 해외에서 국내를 거쳐 다시 해외를 해킹하는 사례가 여전히 많아 이에 대한 대책마련이 시급한 것으로 나타났다.

 
12일 한국정보보호진흥원(원장 조휘갑)에 따르면 지난 8월 국내에서 발생한 해킹피해는 모두 840건으로 7월의 1008건에 비해 20% 줄어들었다. 전체 해킹피해 가운데 문제가 되는 국내 경유 해외 해킹이 차지하는 비율은 37.97%로 7월에 비해 7.27%포인트 줄어들었다.
　

또 바이러스 피해는 2464건으로 7월의 2971건에 비해 20% 정도 감소했다. 특히 신종 바이러스는 단 5건만 등장해 올해 들어 최소발생을 기록했다. 피해건수는 클레즈 바이러스가 590건으로 4월 이후 1위를 고수했으며 님다 바이러스와 펀러브 바이러스가 그 뒤를 이었다. 상위 3위까지 바이러스는 모두 다형성 바이러스로 여전히 다형성 바이러스가 기승을 부리고 있는 것으로 나타났다.
  

9/ 13                                                       전자신문                                                <장동준기자>

 

 

===============================

5. 'Chet' 웜 바이러스, 주의예보 발령 

===============================

  

Win32/Chet.worm (Chet) 웜 바이러스에 대한 주의예보가 발령됐다.

 

'Chet' 웜은 아직까지 국내에 유입되지는 않았으나 9.11 미국테러사건과 관련된 내용을 첨부파일로 하여 메일 형태로 전파되고 있기 때문에 국내에 유입될 경우 전파속도가 증가할 것으로 예상되고 있다.

 

메일을 보낸 사람은 main@world.com">main@world.com이며 제목은 All people, 첨부파일은 11september.exe이고 Outlook(Express) 사용자를 대상으로 감염된다.

 

감염을 예방하기 위해서는 출처 및 용도가 불분명한 메일은 열어보지 말고 삭제하고, 특히 송신인이 main@world.com">main@world.com이며 제목은 All people, 첨부파일은 11september.exe인 메일은 실행하지 말고 반드시 삭제해야 한다. 감염되었을 경우에는 최신 버전의 백신으로 치료해야 한다.

 

◆감염원리 및 피해증상

 

Outlook(Express)사용자를 대상으로 메일주소록에 등록된 주소를 발췌하여 전파된다.

 

감염되었을 경우 아래와 같은 메시지가 나타난다. - boot.txt (C:＼) - synchost1.exe(C:\Windows\System, C:\Winnt\System32, C:\Windows\System32) 또 레지스트리도 아래와 같이 추가된다.

 

- HKEY_CURRENT_USER\DefaultLcid3=2 -KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run\ICQ1=%SysDir%\Synchost1.exe -KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Runonce\Del_Self=del C:\WINDOWS\SYSTEM\SYNCHOST1.EXE

 

◆대응방법

 

메일수신시 출처 및 용도가 불분명한 메일은 삭제하고, 감염되었을 경우 아래의 사이트를 참조하여 치료한다. ▲ McAfee - http://vil.mcafee.com/dispVirus.asp?virus_k=99683

 

▲ Symantec w32.chet@mm.html">-http://securityresponse.symantec.com/avcenter/venc/data/w32.chet@mm.html
 

 9/13                                                  inews24                                             　<백재현기자>

 

 

=======================

6. 'MS 워드'에도 보안 결함 

=======================

 

‘이번엔 워드가….’ 

마이크로소프트(MS) 제품에 보안 결함이 잇달아 발견되고 있다. 13일 로이터통신에 따르면 MS는 자사의 주력 제품 중 하나로 워드 프로세싱 프로그램인 ‘워드’에 보안상 문제점이 발견됐다고 밝혔다.

이에 앞서 이 회사는 지난 96년 이래 선보인 윈도 운용체계를 비롯, 아웃룩(전자우편 소프트웨어), 인터넷 익스플로러(웹브라우저) 등에도 보안 허점이 있다고 경고한 바 있다.

 

MS는 “이번에 발견된 워드의 보안 취약성은 모든 워드 버전에 해당하지만 특히 워드97이 외부의 공격을 받을 가능성이 가장 높다”고 설명하며 “현재 우리의 보안대응팀에서 이 문제를 철저하게 조사하고 있다”고 덧붙였다.  하지만 언제 패치(보안 수정 소프트웨어)를 발행할지는 언급하지 않았다.
 
이번 보안 취약성의 상세한 내용은 보안업체 시만텍의 계열사인 시큐리티포터스가 운영하는 웹사이트(버그트랙)에 지난 8월 26일 처음으로 공개됐는데, 워드 문서에 숨겨진 코드인 ‘인클루드텍스트’(Includetext)에서 말썽을 일으키는 것으로 전해졌다. 한편 지난 5월 한 시장조시기관에 따르면 미국 기업 약 32%가 현재 워드97를 사용하고 있는 것으로 조사됐다.
　

9/14                                                     전자신문                                                         <방은주기자>

 

=========================

7. 새로운 리눅스 웜, 국내 유입 

=========================

 

에프시큐어 국내 총판인 시머스(대표 강호신 www.simus.net)는 17일 새로운 리눅스 웜인 '슬래퍼(Linux worm Slapper)'가 국내에 유입돼 각별한 주의를 요한다고 발표했다.

 

네트워크 웜의 일종인 이 바이러스는 'OpenSSL+Apache' 웹이 동작하는 리눅스 머신을 공격, 한 시스템이 이 웜에 공격하면 새로운 시스템으로 확산되는 것이 특징이다.

 

에프시큐어는 9월 14일 20시 30분 세계 최초로 백신 업데이트를 완료했다고 시머스 측이 밝혔다.

 

◆슬래퍼의 일반적인 특징

 

'슬래퍼'는 리눅스 머신에서 감염 전파되는 네트워크 웜으로, 2002년 8월 발견된 OpenSSL 라이브러리에 대한 결함을 이용한다.

 

9월 14일 저녁 동유럽 지역에서 발견됐으며, OpenSSL + Apache 웹이 동작하고 있는 리눅스 머신을 감염시킨다.

 

인터넷 웹 사이트 중 60% 이상이 아파치 웹 서버를 사용하고 있다. 또한 SSL은 대부분 온라인 상품 판매, 은행 애플리케이션에서 많이 사용하고 있다. 이에 따라 '슬래퍼'의 위험성이 증가하고 있다.

 

시머스 측은 "이 웜은 peer-to-peer에 기반한 네트워크 공격 코드를 가지고 있으므로 감염된 시스템은 분산 서비스 거부 공격(DDoS)에 이용될 수도 있다"고 밝혔다.

 

또한 레드햇(Red Hat), 수세(SuSe) 등의 리눅스 배포판을 운영하는 인텔 기반 서버에서 동작한다. OpenSSL이 0.96d 이전 버전이면 웜에 감염된다.

 

이밖에 기본적인 동작 방식이 전세계적으로 많은 피해를 입힌 코드레드웜과 유사한 것도 특징이다.

 

◆제거 방법은

 

'.bugtraq'이라는 프로세스가 활성화돼 있다면 웜에 감염된 것이다. 이 프로세스를 종료시키고 임시 디렉토리에 생성된 다음 파일을 삭제함으로써 웜을 제거할 수 있다.

 

/tmp/.uubugtraq /tmp/.buqtraq.c /tmp/.bugtraq

 

Apache 웹 서버는 셧 다운시킨 후, 재감염을 방지하기 위해 OpenSSL 라이브러리를 0.9.6e 이후 버전으로 업그레이드해야 한다.

 

-OpenSSL 보안 권고문: http://www.openssl.org/news/secadv_20020730.txt

 

-CERT(r) 권고문: http://www.cert.org/advisories/CA-2002-23.html

 

-각종 리눅스 벤더의 보안 권고문:

 

Debian: http://www.debian.org/security/2002/dsa-136 Mandrake: http://www.mandrakelinux.com/en/security/2002/MDKSA-2002-046.php RedHat: http://rhn.redhat.com/errata/RHSA-2002-155.html SuSE: http://www.suse.com/de/security/2002_027_openssl.html [Analysis: Sami Rautiainen and Mikko Hypponen, F-Secure Corporation; September 14th, 2002]

9/17                                                inews24                                        <김현아기자>

 

 

========================================================
8. 워크래프트 버전3 맵핵1.02’에 바이러스 발견...개인정보 유출 우려 

========================================================

 

국내 대부분의 게임 차트에서 1위를 달리고 있는 '워크래프트 버전3'의 맵핵(MapHack) 1.02에 트로이목마의 일종인 ‘Trojan.KeyLogger’라는 바이러스가 심어져 있는 것으로 밝혀져, 개인정보 유출의 우려가 커지고 있다.

 

‘워크래프트 버전 3 맵핵 1.02’는 지난 6월말 출시된 전략시뮬레이션 게임 ‘워크래프트 버전3’에 대한 ‘맵핵’ 프로그램이다.

 

‘맵핵’이란 게이머들이 다운로드받으면 상대방이 갖고 있는 자원이나 화면 상의 활동을 볼 수 있는 프로그램으로, 워크래프트 외에 스타크래프트, 디아블로 등 다른 게임에서도 만들어져 인터넷을 통해 유통되고 있다.

 

‘맵핵’은 게임 개발회사들에는 재미를 반감시키는 골치거리이지만, 정작 게이머들 사이에선 내공을 입증해주는 도구로 활용되기도 한다.

 

◆뉴테크웨이브, 워크래프트 맵핵에서 바이러스 발견

 

토종 안티바이러스 백신업체 뉴테크웨이브(대표 김재명 www.virusdesk.com , www.viruschaser.com)는 19일 ‘워크래프트 버전3 맵핵(MapHack) 1.02’에 트로이목마의 일종인 ‘Trojan.KeyLogger’라는 바이러스가 심어져 있어 사용자들의 주의가 요구된다고 밝혔다.

 

뉴테크웨이브의 백신 프로그램인 '바이러스 체이서(Virus Chaser)'를 쓰고 있는 서울 지역의 PC방에서 사고가 접수된 것은 지난 주.

 

사고가 접수된 후 뉴테크웨이브 직원들이 감염 파일을 찾기 위해 역추적하는 과정에서 ‘워크래프트 버전3 맵핵(MapHack) 1.02’에 바이러스가 감염돼 있다는 사실을 발견했다.

 

뉴테크웨이브 측은 “PC방에 많이 퍼져있을 것으로 보이는 이 바이러스는 사용자의 키보드 입력을 가로채 패스워드 정보를 악의적인 목적의 사용자에게 보낼 수 있다”며 “특히 은행계좌 정보나 신용카드 정보가 누출될 수 있으므로 각별한 주의가 필요하다”고 설명했다.

 

특히 “워크래프트버전3용 맵핵1.02가 나온 후 게임 개발회사에서 패치파일(1.02a)을 배포했기 때문에 현재의 맵핵(워크래프트버전3용 맵핵1.02)으로는 1.02a버전의 워크래프트 버전3에서 맵핵의 기능을 사용할 수 없음에도 네티즌들은 오해하고 있어 큰 피해가 우려된다”고 말했다.

 

대다수 사용자들이 1.02버전 맵핵이 워크래프트1.02a 버전(현재버전)에서도 사용이 되는 것으로 잘못 알고 실행을 시키고 있어 문제가 심각하다는 것이다.

 

이와 관련 아직까지도 몇몇 와레즈 사이트나 개인 홈페이지를 통해 1.02 버전의 맵핵이 1.02a버전의 맵핵인 것처럼 설명이 되어 퍼져 나가고 있는 것으로 나타났다.

 

뉴테크웨이브 측은 “맵핵의 유해성에 대한 논란을 떠나 워크래프트 버전3 맵핵1.02는 실행시키는 것만으로 바이러스에 감염이 돼 사용자의 개인정보가 누출되고 있다는 게 문제”라며 “테스트 결과 국내외 안티바이러스 프로그램중 유일하게 바이러스 체이서만이 검색해내는 걸로 확인됐다”고 밝혔다.

 

또 "피해를 막으려면 불법 유통되는 맵핵의 사용을 절제해야 하고, 만약 감염됐다면 바이러스 체이서로 치료해야 한다"고 말했다.

 

◆맵핵, 보안의 사각지대

 

워크래프트 버전3는 지난 6월 출시된 후 지금까지 35만장이 팔려나갔으며, 국내 PC패키지 중 최고의 판매량을 기록하고 있는 것으로 알려졌다.

 

또 워크래프트 외에도 스타크래프트, 디아블로 등 다른 게임의 '맵핵'프로그램에서도 2000년에 바이러스가 발견되는 등 '맵핵'의 안전성에 대한 의문이 커지고 있다.

 

뉴테크웨이브 관계자는 "워크래프트용 맵핵은 한국에서 처음으로 만들어진 후 지난 8월 1.02 버전이 나왔다"며 "지금으로선 트로이목마를 심은 맵핵을 누가 만들었는지는 알 수 없지만, 워크래프트 맵핵 1.02의 경우 다른 맵핵과 달리 제작자의 정보를 철저히 숨긴 점이 의문을 주고 있다"고 말했다.

 

보통 맵핵 제작자들은 자신의 권위를 보이기 위해 메일 주소 등 일부를 프로그램에 남기지만, 이번 1.02 버전은 그렇지 않았다는 것이다.

 

9/19                                                 inews24                                                  <김현아기자>

 

================================================================= 
9. [워크래프트 맵핵 바이러스 감염] 'Trojan.KeyLogger'는 어떤 바이러스인가 

=================================================================

 

이번에 발견된 'Trojan.KeyLogger'는 일종의 트로이 목마다.

 

뉴테크웨이브 측은 "자사 백신인 바이러스 체이서는 수많은 키 입력을 가로채는 기능의 트로이 목마를 단지 Trojan.KeyLogger라는 한 가지 이름으로 진단하기 때문에, 트로이 목마를 실행시키고 난 후 시스템 디렉토리에 생성된 H@tKeysH@@k.dll 파일을 보고 비교적 많이 알려진 Dropper-hotkeyhook 트로이 목마임을 알았다"고 밝혔다.

 

이번워크래프트3 맵핵의 경우 H@tKeysH@@k.dll 을 단지 복사만 했을 뿐이며, 이미 알려진 대로 윈도우 시작 프로그램인 SCNAREGW.EXE 파일 등을 교체하여 H@tKeysH@@k.dll 을 실행시키는 기능은 없는 것으로 보인다.

 

하지만 비록 실행기능은 없다 하더라도, 이런 종류의 파일을 사용자 PC에 생성하는 것만으로도 그 잠재적인 위험은 크다고 할 수 있다.

 

한 바이러스 전문가는 "H@tKeysH@@k.dll 파일은 키보드 입력만 가로채는 역할을 하고, H@tKeysH@@k.dll 을 실행시키는 .exe파일과 같은 Dll 클라이언트 프로그램을 어떻게 만드느냐에 따라, 키보드 입력 로그를 남긴다거나 악의적인 사용자에게 정보를 전송할 수 있다고 생각한다"고 밝혔다.

 

한편 안철수연구소에서는 2000년 5월 3일 스타크래프트 브루드워 맵핵에서 바이러스가 발견됐다고 발표했으며, 다양한 변종이 만들어졌을 거라고도 언급한 적이 있다.
 

9/19                                                   inews24                                          <김현아기자>

 

================================= 
10. 워크래프트3 맵핵 파일 바이러스 논란 

=================================

 

신생 백신업체가 ‘워크래프트3’의 맵핵 파일에 바이러스가 들어 있다고 주장한 가운데 안철수연구소가 이에 대해 반대 의견을 제시해 논란이 예상된다.
　신생 백신업체인 뉴테크웨이브는 22일 워크래프트3의 맵핵 1.02에 트로이목마인 키로거(Trojan.KeyLogger) 바이러스가 들어 있다고 밝혔다. 특히 이 회사는 다른 백신은 이 바이러스를 검사하고 치료할 수 없지만 자사 백신은 가능하다고 주장했다.
　맵핵 파일은 실시간 전략 시뮬레이션 게임에서 상대방이 무엇을 하고 있는지 알 수 있도록 만드는 것이다. 게임 개발업체 입장에서는 게임의 재미를 반감시키는 골칫거리지만 게이머 입장에서는 상대방의 작전을 미리 파악해 게임에서 승리할 가능성을 높일 수 있기 때문에 귀가 솔깃해지기 마련이다.
 뉴테크웨이브측은 “주로 PC방을 중심으로 확산되고 있는 이 바이러스는 사용자의 키보드 입력 내용을 가로채기 때문에 은행계좌나 신용카드 정보가 누출될 가능성을 배제할 수 없다”며 “워크래프트3를 만든 블리자드에서 이 맵핵을 사용하지 못하게 만드는 패치파일을 배포했지만 아직도 많은 게이머들이 맵핵을 사용할 수 있다고 착각해 계속 확산되는 추세”라고 말했다.
　뉴테크웨이브측은 또 “맵핵이 제 기능을 하지 못해도 이를 더블 클릭하는 것만으로 바이러스에 감염되며 국내외 백신 가운데 유일하게 바이러스체이서만이 이 바이러스를 검색하는 것으로 확인됐다”고 밝혔다.
　이에 대해 안철수연구소의 관계자는 “맵핵 파일은 게임중 맵핵 기능을 실행해야 하므로 키보드 입력 값을 가로채는 파일을 따로 갖고 있는데 이 파일이 오직 게임에서 맵핵 용도로만 사용된다면 문제는 없다”며 “기반기술팀의 분석 결과 워크래프트3 맵핵 파일의 경우 별다른 악성 기능이 없는 것으로 나타났다”고 뉴테크웨이브와 반대되는 의견을 제시했다.
　이 관계자는 또 “바이러스가 아닌데 바이러스라고 주장하며 자사 백신만이 이를 치료할 수 있다고 주장하는 것은 문제가 있다”고 덧붙였다.
　한편 워크래프트3는 스타크래프트 이후 최대의 인기를 구가하는 게임으로 출시 이후 30만장에 가까운 판매고를 올리며 각종 게임 판매차트 1위를 기록하고 있다. 게임방을 이용하는 게이머와 불법복제 사용자까지 더하면 이미 100만명 이상이 이 게임을 즐기고 있으며 맵핵 파일도 이미 수십만명이 다운로드해 실행했을 것으로 추산된다.
　

9/23                                                    전자신문                                                        <장동준기자>

 

<바이러스 예보(  9/22    ~   9/28  ) - 자료협조: 안철수연구소>

 

======================
1. 이번주 활동할 바이러스
======================

 

* 9월 22일 (일요일) Euthanasia, Euthanasia_II, Euthanasia_III  
* 9월 23일 (월요일) VBS/Valentin, VBS/San  
* 9월 24일 (화요일) Form  
* 9월 25일 (수요일) X97M/HJB.M, X97M/HJB.I, X97M/BDoc2, X97M/BDoc2.B, W97M/Opey.AX  
* 9월 26일 (목요일) Win95/CIH.1035

==========================
2. 이번주 주의해야 할 바이러스
==========================

 

(1) 9월 22일 
    * Euthanasia

    - 종류 : 바이러스
    - 유형 : 부트
    - 제작국 : 외국
    - 국내발견일 : 1996-05-01
    - 특정활동일 : 8월 이후 매월 22일
    - 감염시 위험도 : 1등급(파괴)

    - 특징 : 주부트섹터 감염시에는 기본 메모리를 10 Kbyte를 줄여서 그 영역에 상주하는데 바이러스가 작동중에는 파티션 데이터를 볼 수 있지만 메모리에서 제거되면 파티션 데이터가 없어진다. 8월 이후 매월 22일에 작동하며, 특정 문자열을 화면에 출력한 후 하드디스크의 FAT영역을 파괴시킨다.

 

(2) 9월 25일 
    * X97M/HJB.I

    - 종류 : 바이러스
    - 제작국 : 한국
    - 국내발견일 : 2000-12-19
    - 특정활동일 : 매월 25일
    - 감염시위험도 : 3등급(위해)

    - 특징 : X97M/HJB 바이러스의 변형으로 원형이 HJB.XLS 파일을 생성하지만, 이 변형은 HD.XLS 파일을 생성한다. 매월 25일 사용자에게 질문하여 '아니오'를 선택할 경우 특정 메시지가 출력되면서 현재 작업중인 문서의 내용을 지워버리는 증상을 가지고 있다.

 

* W97M/Opey.AX

    - 종류 : 바이러스
    - 제작국 : 불분명
    - 국내발견일 : 미발견
    - 특정활동일 : 매년 1월 1일, 9월 25일, 10월 1일, 11월 14일
    - 감염시위험도 : 5등급(주의)

    - 특징 : W97M/Opey.AX 바이러스는 바이러스로 발견시기와 제작국은 불분명하다 감염된 문서를 열면 바이러스가 포함된 매크로가 실행되고 이후 사용하는 문서를 감염시킨다. 감염된 MS 원드의 사용자 이름, 주소, 문서 만든이, 제목을 변경하며, 매년 1월 1일, 9월 25일, 10월 1일, 11월 14일에 AUTOEXEC.BAT 파일을 변경하여, 다음번 부팅때 "HAPPY BIRTHDAY TO YOU!!!"와 "from: CARLO O."란 메시지가 출력되게 한다(단, 윈도우 95/98 만 해당).

  
 (3) 9월 26일

     * Win95/CIH.1035

    - 종류 : 바이러스
    - 제작국 : 대만
    - 국내발견일 : 1999-04-01
    - 특정활동일 : 매월 26일
    - 감염시위험도 : 1등급(위험)

    - 특징 : Win95/CIH의 변종 바이러스로 Win95/CIH의 감염특성을 그대로 가지고 있다. 매년 4월 26일에 플래시 메모리의 내용과 모든 하드디스크의 데이터를 파괴하던 원형과는달리 매월 26일에 증상이 나타나도록 변형되었다