4월 특정일 활동 바이러스 경고

C:\WINDOWS\SYSTEM32\AVX32.EXE ; BACKDOOR VIRUS

 

출처 : http://kidok.net/madang/content.php3?board=board33&uid=133&keyfield=&key=&bunho=33

 

1. 특정일 활동 바이러스 경고

(1) 특정일 활동 바이러스 목록 (4월 1일 ∼ 4월 7일)

4월 1일 : Satan, WM/MDMA, Juvenile_Delinquent, Timer, Sonic, Fish_Boot, Sunday
Korean_Sunday, Great_Dipper, Nice_Day, Eddy.1530, Win95/Love, JS/Kak
4월 2일 : Keypress.1236, Flip.2153, No_Import_Rice, Great_Dipper, Eddy.1530, W97M/Jim.C
4월 3일 : Great_Dipper, Eddy.1530
4월 4일 : Great_Dipper, Eddy.1530, Win95/CIH.1042
4월 5일 : MacGyver, Great_Dipper, Eddy.1530, VBS/Baracuda.B
4월 6일 : VCL.554, Jerusalem.Payday, Zerotime, Coffeeshop, Great_Dipper, Eddy.1530, Win95/Matrix
4월 7일 : Sonic, FCL.4194, Beethoven, VCL.554, Bbodong, Great_Dipper, Eddy.1530

(2) Win95/Love

2000년 2월 이후 매달 1일(2월 1일 포함) 프로그램이 실행될 때 PC 스피커로 모 회사의 로고송을 연주한다. 음악이 연주될 때는 시스템의 모든 동작이 멈추며 음악 연주가 끝난 후 컴퓨터를 다시 사용할 수 있다. 감염된 파일 내부에 "LOVE"라는 문자열이 존재한다.

1999년 12월 말 발견된 국산 바이러스로, 윈도우 95/98에서만 활동하며, 윈도우 NT에서는 활동하지 않는다. 감염된 파일이 실행되면 기억장소에 상주한 후 오픈되는 파일 중 확장자가 EXE인 PE(Portable Executable) 형식의 윈도우 실행 파일을 감염시키나 시스템에 따라 기억장소에 상주하지 못하는 경우도 있다. 또한 EXE 파일을 감염시킬 때 ".reloc" 섹션이 있는 파일만 감염시킬 수 있다. 파일의 빈 영역에 자신을 겹쳐쓰는 형태로 감염시키므로 파일 길이가 증가하지 않는 경우가 대부분이나, 빈 영역이 부족할 경우 파일 끝부분에 기생해 감염시킨다. 단, 바이러스 버그로 인해 감염된 파일 크기가 비정상적으로 커질 수 있으며 이들 파일은 정상적인 파일로 교체해야 한다.(자세한 정보 보기)

(3) Win95/CIH.1042

매월 4일 플래시 메모리(Flash memory)의 내용과 모든 하드 디스크의 데이터를 파괴한다. 1998년 6월에 발견된 Win95/CIH 바이러스의 변형이다.

바이러스에 감염된 파일이 실행되면 기억장소에 상주하여, 오픈되는 PE(Portable Executable)형 EXE파일을 감염시킨다. 윈도우 95/98에서는 메모리에 상주한 후 감염 활동을 할 수 있지만 윈도우 NT/2000에서는 작동하지 않는다. 플래시 메모리 데이터의 파괴 여부는 메인보드의 딥스위치(DIP switch)에 따라 달라진다. 즉, 최신 바이오스(BIOS)들은 소프트웨어적으로 업데이트할 수 있도록 쓰기가 가능한 형태로 되어 있는데 이 경우 데이터가 파괴될 수 있으며, 일부 보드에 따라서는 플래시 메모리에 쓰레기 값이 입력될 때 시스템이 정지되는 경우도 있다.(자세한 정보 보기)

(4) JS/Kak

마이크로소프트 아웃룩 익스프레스 프로그램을 통해 확산되는 웜이다.

1999년 12월 최초 발견된 후 2000년 2월 유럽 몇 개 국가에서, 2000년 3월에 국내에서 발견되었다.

WScript.KakWorm, WScript/ Kak.worm, VBS.Kak.Worm 등으로 불리며 자바 스크립트로 작성되었다. VBS/BubbleBoy에서 사용한 아웃룩 익스프레스의 보안상 허점을 이용해 감염되며 구 버전의 아웃룻 익스프레스를 사용할 경우 감염된 메일을 읽는 것만으로 감염된다. 마이크로소프트사는 이런 보안상의 문제를 해결한 패치를 공개했다.(자세한 정보 보기)
관련 자료 : http://www.microsoft.com/technet/security/bulletin/ms99-032.asp

(5) VBS/Baracuda.B

VBS/Baracuda.B 는 '종보이 웜 바이러스', VBS.JongBoy@mm(시만텍), VBS_NETICE(트렌드), VBS/Baracu@mm(맥아피) 등으로 불리는 스크립트 웜으로 2001년 2월 27일 발견되었다.
VBS/Baracuda 웜을 일부 변형한 것으로 현재까지 국내 감염 보고는 없다.(자세한 정보 보기)


2. 신종 바이러스 : Win32/Lindose

종류 : 파일 바이러스
위험도 : 5등급
제작지 : 체코
백신버전 : 2001년 4월
특정일 활동 : X

Win32/Lindose 바이러스는 W32/Winux(AVX), W32.PEEIf.2132(시만텍) 등으로 불리는 파일 바이러스로 2001년 3월 28일 발견되었다.

윈도우 실행 파일과 리눅스 실행 파일을 모두 감염시킬 수 있는 바이러스이다. 아직까지 세계적으로 이 바이러스에 감염되었다는 보고는 없다. 바이러스의 감염 능력이 낮아 일반 사용자가 이 바이러스에 감염될 가능성은 낮다.

윈도우 환경( 윈도우 95, 98, ME, NT, 2000 )에서 감염된 파일이 실행되면 현재 폴더에서 윈도우 실행 파일과 리눅스 실행 파일을 찾아 감염시킨다. 이 바이러스는 리눅스 시스템에서 리눅스 실행 파일을 감염시키는 갓이 아니라 현재 폴더에 존재하는 파일 중 리눅스 실행 파일이 있으면 감염시킨다. 따라서 윈도우와 리눅스가 동시에 설치된 시스템의 경우는 안전하다. 윈도우 실행 파일 중 ".reloc" 섹션만 있는 파일을 감염시킨다. 감염된 파일의 크기는 변화가 없지만 날짜는 감염될 당시로 바뀐다.(자세한 정보 보기)