안티 CIH VIRUS http://www.ebo.co.kr/cih
blackish라는 바이러스이라고 가장을하여 sulfnbk.exe 를 삭제하라는 가짜 바이러스가 있어서 경고 합니다.
이 바이러스는 실제로 존재하지 않는 바이러스입니다.
아래 안철수 연구소 공지사항을 확인해 주세요.
안철수연구소 시큐리티대응센터입니다.
2001년 5월 중순경에 처음 알려진 가짜(Hoax) 바이러스 - SULFNBK.EXE Warning 에 대한 메일이 또다시 네티즌사이에서 돌고 있는 것으로 확인되었습니다.
이에 안철수연구소는 이 가짜(Hoax) 바이러스에 대한 정확한 실체를 고객 여러분께 알리고자 합니다.
SULFNBK.EXE Warning 는 가짜바이러스 경고 메일로, 실제로 존재하지도 않고 스스로도 전파되지 않으며 단지 메일을 받아 본 사용자들이 자신의 친구나 동료에게 이 내용을 알려 주기위해 인위적으로 보내어지는 방식으로 전파되는 것입니다. 가짜 바이러스는 특히 사용자들로 하여금 믿게 하기위해 공신력있는 기관을 사칭하거나 전문적인 용어가 쓰여져 일부 사용자들은 그 내용을 그대로 믿게 되는 경우가 많습니다.
더욱이 이번에 확산되고 있는 SULFNBK.EXE 경고 메일은 메일 본문에 명시된 이 파일이 실제로 \Windows\Command 폴더에 존재하는 파일이여서 더욱 더 사용자들로 하여금 의혹을 짙게 만들고 있습니다.
그러나 이 파일은 정상적인 윈도우 관련 파일이며 긴 파일명을 가진 파일에 대한 복원을 지원하는데 사용되는 파일입니다. 따라서 해당 메일을 받은 고객님께서는 이러한 거짓정보에 현혹되지 마시기 바라며 메일을 받으셔도 다른분께 보내지 마시고 삭제하시기 바랍니다.
==================================================================
한글로 번역된 메일의 내용
이 VIRUS는 6월 1일 날 활성화가 되기 때문에 5월 31일까지는 기존 노턴등의 VIRUS DETECTOR 로는 전혀 인식되지 않는다고 합니다.
조치법은
- '시작'의 찾기 메뉴에서 '파일 또는 폴더'로 갑니다.
- 이름을 TYPE하는 란에 'SULFNBK.EXE'를 치고 C드라이브에서 찾기를 실행 합니다.
- 찾기 결과는 아마도 'C:\windows\command' 밑에 이상한 모자 모양의 ICON이 보이면서 SULFNBK.EXE 가 보일것 입니다.
- 그 화일을 그대로 삭제 하시기 바랍니다. 절대 실행시키거나 하면 안됩니다.
- 삭제 했으면 휴지통으로 가셔서 '휴지통 비우기' 까지 하십시오. 완전히 PC에서 없애 버려야 합니다.
- 이 잠복 포자 같은 VIRUS는 주로 E-MAIL을 통해 감염 되므로, 위와 같이 조치 하신 후 라도 5월 31일까지는 수시로 한번씩 찾아 보시기 바랍니다. 물론 발견 즉시 지워버려야 합니다.
- 친구나 동료에게 이 사실을 알려 주고 바로 조치하게 해주시기 바랍니다.
만약, SULFNBK.EXE 파일을 삭제하셨다면, 아래 내용을 참고하세요.
(아래 내용은 alnal 님의 답변내용입니다.)
SULFNBK.EXE 파일을 지우셨다면 운영체제에 맞는 SULFNBK.EXE 파일을 다운받아 C:\Windows\COMMAND 폴더안에 저장주세요..
윈도우 98
윈도우 SE
윈도우 ME
참고 : C:\Windows\Command 에 저장한 Sulfnbk.exe 파일을 실행하지 마시고 그냥 저장만 주세요.. Sulfnbk.exe 파일은 정상적인 윈도우 파일입니다.
감사합니다.^^*
안티 CIH VIRUS http://www.ebo.co.kr/cih
[주의] 곱(Win32/Gop.worm.60313) 바이러스 국내 확산..
(inews24.com) -
중국에서 만들어진 곱(Win32/Gop.worm.60313) 바이러스가 국내에 확산되고 있어 사용자들의 주의가 요망된다.
다음카페 안티바이러스존(cafe.daum.net/avzone)은 2일 "감염시 트로이 목마로 작용해서 패스워드 등을 훔쳐가는 곱 바이러스가 국내에서 확산되고 있다"고 밝혔다.
이미 6건의 피해 신고가 접수된 상태라고 사이트 운영자는 밝혔다.
곱 바이러스는 Worm.Gop.3 (라이징), W32/HLLW.Gop@mm (시만텍)으로도 불리는 웜 바이러스.
2001년 12월 26일 국내에서 발견됐다.
감염된 시스템에는 윈도우 시스템 폴더( 일반적으로 C:WindowsSystem )에 Kernelsys32.EXE( 60,303 바이트 )와 IMEKernel32.sys ( 61,440 바이트 ) 파일을 생성한다.
이 때 Kernelsys32.EXE 파일은 웜 자체이며 , IMEKernel32.sys 파일은 트로이목마로 패스워드를 훔쳐가는 기능을 한다.
[특징] 곱 바이러스..
발신인 메일주소가 mail@btamail.net.cn 으로 중국어가 깨진 내용과 바이러스에 감염된 파일이 메일 주소로 옵니다.
수신인 메일주소가 g_op@163.com 으로 표시 됩니다.
예방방법으로 mail@btamail.net.cn 으로 오는 메일을 수신 거부를 하시거나, 삭제가 될 수 있도록 필터링을 적용하시면 됩니다.
이미 해당 파일을 실행하신 분 께서는 저희 ANTI CIH 바이러스 홈페이지 http://www.ebo.co.kr/cih 에 접속
백신 자료실에서 최신 버전의 V3 또는 바이로봇 백신 프로그램으로 치료를 하시면 됩니다.
[뉴스] 하우리 "I-Worm.Win32.Shatrix 윔" 주의
Moneytoday [증권, 증권벤쳐] 2002년 01월 07일 (월) 15:13
컴퓨터 바이러스 백신 및 데이터 복구 프로그램 전문 개발 업체인 하우리(대표 권석철)은 지난 3일 해외에서 처음 발견된 I-Worm.Win32.Shatrix 웜이 6일자로 국내에 유입돼 사용자들에게 주의를 요청한다고 7일 밝혔다.
이 바이러스는 e-메일을 통해서 확산되는 웜. 감염자의 아웃룩 주소록에 등록된 모든 주소를 대상으로 메일을 발송한다. 이때의 메일 제목과 분문, 첨부파일은 다음과 같다.
제 목 : FW:Shake a little
본 문 : Hi!
This will shake your world :-)
Regards,
첨부파일 : shake.exe (38만928 바이트)
이 웜의 특징적인 감염 증상은 하드 디스크의 C 드라이브 특정 폴더에 존재하는 파일 중, 확장명이 ".ASP,.HTM,.HTML"인파일을 파괴시켜며 같은 폴더내 ".EXE" 확장명을 지닌 파일을 삭제시키는 것.
웜에 감염돼 처음 실행될 때, 실행된 창이 순간적으로 흔들리는 증상이 나타나므로 사용자가 놀랄수 있다. 이 웜은 하우리의 바이러스 백신인 바이로봇의 7일자 엔진으로 진단 및 치료가 가능하다. ⓒMoneyToday 2002
머니투데이 박민정 기자