오늘은 이 바이러스 놈을 한번 파헤쳐 보겠습니다.
<목차>
1. 2090바이러스는 정말 포맷으로도 치료가 불가능한가?
2. 2090바이러스의 전파경로는?
3. 2090바이러스의 증상은 무엇인가요?
4. 잠깐만요 잠깐만요! usb를 꼽는다고 바이러스에 걸린다구요?
5. 그러면 usb전파 바이러스는 어떻게 막아요?
6. Autorun 기능은 어떻게 꺼요?
7. 이 바이러스(2090 바이러스)에 걸린 다음에는 포맷밖에 치료방법이 없는건가요?
8. 정말 확실한 예방법은 뭔가요?
9. 게토클로버 운영자가 생각하는 최강의 바이러스는?
10. 마치며...
1. 2090바이러스는 정말 포맷으로도 치료가 불가능한가?
2. 2090바이러스의 전파경로는?
3. 2090바이러스의 증상은 무엇인가요?
4. 잠깐만요 잠깐만요! usb를 꼽는다고 바이러스에 걸린다구요?
5. 그러면 usb전파 바이러스는 어떻게 막아요?
6. Autorun 기능은 어떻게 꺼요?
7. 이 바이러스(2090 바이러스)에 걸린 다음에는 포맷밖에 치료방법이 없는건가요?
8. 정말 확실한 예방법은 뭔가요?
9. 게토클로버 운영자가 생각하는 최강의 바이러스는?
10. 마치며...
1. 2090바이러스는 정말 포맷으로도 치료가 불가능한가?
이 2090 바이러스는 카스퍼스키에서는 Rootkit.Win32.Agent.hcd / Trojan.Win32.Inject.oqw라는 이름을 붙였으며, 위키백과에서는 Win32/AimBot.worm.15872 , V.WOM.Aimbot.CC 라고 명명하고 있습니다.
결국은 웜, 트로잔, 루트킷 으로 분류할 수 있는 바이러스입니다.
즉, 포맷해도 제거할 수 없다는 말은 거짓부렁이인것입니다.
이해가 안가신다고요? 더 자세하게 설명드리지요..
포맷해도 치료가 불가능한 바이러스는 오직 하나, 바이오스(CMOS)에 상주하는 상주바이러스입니다.
인터넷에서는 기생형 바이러스라는 말을 사용하기도 하더군요.
그런데 이 2090바이러스는 이 상주형 바이러스가 아니라고 위에서 말씀드렸습니다.
어떤 백신도 이 바이러스를 상주형바이러스라고 하지 않더군요.
결국은 이 2090바이러스는 포맷으로 치료 가능하다는 말입니다.
어떤 믿지 못 할 인터넷뉴스에서, 그것도 컴퓨터 전문 뉴스사에서 포맷해도 치료 안된다는
터무니 없는 말을 믿고서 기사를 썼더군요..
덕분에 우리 네티즌분들은 엄청 쫄아서 부들부들 거리고 있다고 합니다. 에휴...
한국에서 루머 한번 퍼지면 사람 죽는 일이 허다한 이유를 절실히 깨달은 날이었습니다.
2. 2090바이러스 전파경로는?
우선 usb의 오토런(Autorun)기능을 이용한 전파를 주로 하고 있는 것 같습니다.
둘째로는 네트워크 접속 중 전파되는 형태입니다.
3. 2090바이러스 증상은 무엇인가요?
이 부분은 위키 백과의 글을 인용하겠습니다.
컴퓨터 시간을 2090년 1월 1일 오전 10시로 고정함과 동시에 윈도우 시스템 폴더에 임의의 숫자 7(일곱)자리로 된 악성코드 복사본 파일, temp 폴더에는 5(다섯) 자리로 된 sys 파일을 생성한다. CPU와 메모리의 리소스를 과도하게 잡아먹어 컴퓨터가 다운될 수 있으며, 충돌로 인한 블루스크린(BSOD) 발생 가능성이 있다.
부팅 후 자동 실행이 되기위해 키 값을 등록시킨다. 등록이나 등록 후 정상적인 인식을 하지 못하거나 버그로 인해 로그온/로그오프를 반복하기도 한다. (관련 내용: userinit.exe의 경로 변경) 윈도우 XP 서비스 팩 3 이용 시스템에서 감염 시 이와 같은 현상이 주로 나타난다고 알려져있다.
네티즌들 사이에서 바이오스 상주 가능성과 포맷 후 찌꺼기 잔여 가능성이 제기되었으나, 재감염으로 인해 오해한것으로 보인다.
굵게 표시한 부분을 봐주십시오.
제가 생각하기에는 아마 이렇게 되서 헛소문이 돈 것 같습니다.
모씨가 2090바이러스에 감염된 usb를 산뜻하게 자기 컴에 넣었고,
그 결과 감염되었습니다.
평소에 컴 좀 하는 척 하는 모씨는 포맷을 하면 끝일거라고 생각하고 감염된 usb에
각종 필수 드라이버 및 프로그램들을 저장하고서 포맷을 시작합니다.
포맷을 완료하고서는 드라이버 깔려고 usb를 다시 꼽는 순간 다시 감염되었습니다.
모씨는 이 것을 보고,..
"옴메나! 왓 더 헬?! 이 놈은 포맷도 소용없는가벼!"
그 후 인터넷에 자신의 사연을 올립니다.
수많은 네티즌들은 또 똑같이 옴메나! 하고 놀랍니다.
참 어이가 없지요...그 결과 감염되었습니다.
평소에 컴 좀 하는 척 하는 모씨는 포맷을 하면 끝일거라고 생각하고 감염된 usb에
각종 필수 드라이버 및 프로그램들을 저장하고서 포맷을 시작합니다.
포맷을 완료하고서는 드라이버 깔려고 usb를 다시 꼽는 순간 다시 감염되었습니다.
모씨는 이 것을 보고,..
"옴메나! 왓 더 헬?! 이 놈은 포맷도 소용없는가벼!"
그 후 인터넷에 자신의 사연을 올립니다.
수많은 네티즌들은 또 똑같이 옴메나! 하고 놀랍니다.
4. 잠깐만요 잠깐만요! usb 꼽는다고 바이러스에 걸린다고요?
네, 신종 바이러스들의 대부분이 이 방식을 채용하고 있습니다.
대부분의 사람들은 인터넷 환경에서만 잘 막으면 안전할 것이라고 생각합니다.
나쁘신 분들은 그 틈을 노린 겁니다.
더 자세히 설명해 드리겠습니다.
usb 혹은 외장저장장치들의 최상위폴더(맨처음 나오는 곳)에는
Autorun.inf 파일을 추가함으로써 그 저장장치를 컴퓨터에 꼽는 순간
자동적으로 어떤 파일을 실행하게 할 수 있습니다. 다른 행동도 물론 가능합니다.
이 기능은 게임CD, 프로그램CD에 자주 사용됩니다.
CD넣고서 바로 설치창 뜨는 것도 이것을 이용한 것이랍니다.
그런데 나쁘신 분들은 이 좋은 걸 나쁜쪽으로 이용하신 겁니다.
usb를 꼽으면 자동적으로 바이러스 프로그램을 실행하게 만든거죠..
이 Autorun은 사용도 매우 간단해서 저도 만들려면 언제든지 만들 수 있을 정도랍니다..
5. 그러면 usb 전파 바이러스는 어떻게 막아요?
간단합니다.
Autorun 기능을 아예 꺼버리시거나,
카스퍼스키와 같은 세계 랭킹 5위 안에 드는 백신을 이용하시면
맘대로 꼽으셔도 됩니다.
(자동으로 자동실행을 차단해버리기 때문입니다)
6. Autorun 기능은 어떻게 꺼요?
간단합니다.
아래의 프로그램을 다운로드 받아서 실행한뒤 자동실행 차단 버튼을 눌러주면 됩니다.
참고로 이 프로그램은 국정원에서 제공하고 있습니다.
이름은 usbguard 라죠.
7. 이 바이러스 걸린 다음 치료할 방법 포맷 외에는 없나요?
있습니다.
카스퍼스키 랩에서 발췌한 글입니다.
위의 것은 수동으로 치료하는 방법이고요. 따로 전용백신도 카스퍼스키에서 제공하고 있더군요.
사용법은...
만약 이 바이러스 땜시 부팅이 안되시는 상황이시라면,,
http://www.kaspersky.co.kr/registry_fixd.html에 들어가보세요.
응급복구 디스크를 이용한 부팅을 하는 방법을 알려드립니다.
다만, 카스퍼스키 백신을 깔아서 응급복구 디스크를 만들어야 하는 단점이 있습니다.
귀찮으시면 포맷 콜!
8. 정말 확실한 예방법은 뭔가요?
솔직히 오토런 해제, 바이러스백신도 100퍼센트 믿을 순 없습니다.
2090 바이러스는 서버 서비스의 취약점으로 인한 원격 코드 실행 문제점 이라는 취약점을 이용하기 때문에
그 취약점을 아예 제거해버리는 MS Windows vulnerability MS08-067 패치 를 설치하면 절대로 걸리지 않습니다.
패치는 자동업데이트로 2009년 2월 11일부터 자동업데이트로 제공하더군요.
마이크로소프트에서도 이 것 땜시 난리가 난 모양이더군요.
저도 당장 업데이트 했습니다.
9. 게토클로버 운영자가 생각하는 최강의 바이러스는?
지금은 너무나 바이러스가 많아서 말씀드리기 힘듭니다.
하지만 제가 생각하기에는 CIH바이러스가 최강자였다고는 말씀드릴 수 있을것 같군요.
물론 지금은 한물 가신 바이러스 분이시지만,
그 당시에는 엄청났습니다.
아마도 바이러스중에서 하드웨어를 자체를 망가뜨려버리는 바이러스는
이 CIH바이러스가 처음이자 마지막인 것 같습니다.
별명은 체르노빌 바이러스.
체르노빌 원전사고 13주년 기념 바이러스랍니다.
그 당시는 하드디스크의 용량이 2~4GB 정도되었습니다.
그런데 이 체르노빌 바이러스는 하드디스크의 데이터를 모두 날릴 뿐만 아니라,
하드디스크 안에는 새로운 파일을 저장할 때마다 공간을 지정해주는 주소록 기능을 수행하는 부분이 있는데, 이 바이러스는 바로 이곳을 파괴한답니다. 때문에 바이러스에 감염되면 PC가 어디에 무엇이 저장되어 있는지 파악할 수 없는 혼란에 빠져 파일을 복구할 수 없게 되어 하드디스크를 아예 갈아야 했고,
만약 기본 입출력 시스템(BIOS)이 감염되면 기판이나 플래시메모리칩을 교체해야 했습니다.
그런데, 4GB가 넘는 하드디스크는 포맷까지는 시킬 수 있으나,
하드웨어 자체를 망가뜨리는 것은 불가능합니다.
결국 지금 시점에서는 이 바이러스는 바이러스가 아니라고 봐도 무관할 정도입니다.
물론, 포맷 시킨다는 점에서는 아직까지도 위헙하긴 합니다.
정말 최악의 바이러스 였습니다.
그 피해 규모도 장난 아니었습니다.
1999년 4월 27일에는 전 세계의 컴퓨터 중 약 60만대를 맛이 가게 해버렸으며,
그 중 30만대는 우리 대한민국 컴퓨터랍니다.
얼마나 한국인이 보안에 취약한지를 알려줬던 사건이 되었지요.
우리나라가 이 체르노빌 바이러스한테 가장 많이 공격당한 나라랍니다! 베리베리 자랑스럽군요. ㅠㅠ
이 바이러스는 당시 유행하던 멜리사 보다는 전염력이 떨어졌지만, 피해는 장난 아니었습니다.
한국에서는 대부분 '무비 플레이어1.46'을 다운받고 설치하는 것을 통해서 감염되었습니다.
물론 인터넷 연결 자체로도 많은 감염이 있었습니다.
위의 근거를 바탕으로 제가 생각하기에는 CIH바이러스가 최강인 것 같습니다.(논술 분위기?)
10. 마치며...
이번 일을 계기로 오토런 바이러스 보호프로그램을 모두 설치하셨으면 하는 바람입니다.
항상 이것때문에 골치가 아프네요 ㅠㅠ
6. Autorun 기능은 어떻게 꺼요?
간단합니다.
아래의 프로그램을 다운로드 받아서 실행한뒤 자동실행 차단 버튼을 눌러주면 됩니다.
참고로 이 프로그램은 국정원에서 제공하고 있습니다.
이름은 usbguard 라죠.
usbguard.exe7. 이 바이러스 걸린 다음 치료할 방법 포맷 외에는 없나요?
있습니다.
카스퍼스키 랩에서 발췌한 글입니다.
1. USB 드라이브 및 공유된 네트워크 드라이브 등을 통해 확산되므로 USB 드라이브 검사 및 포맷, 공유된 네트워크 드라이브 검사 및 연결을 끊기 바랍니다.
2. %SYSTEM% 폴더에 ???.exe, ???? 의 숫자로 된 파일과 system.exe 파일을 삭제합니다.
3. 임시 폴더(%temp%)에 있는 ????.sys 파일을 삭제합니다.
4. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit 값이 삭제되어 있다면, "C:\WINDOWS\system32\userinit.exe," 와 같이 자신의 윈도우 설치 경로에 맞게 추가합니다. (문자열 값)
5. 컴퓨터 날짜를 현재 날짜로 다시 되돌립니다.
2. %SYSTEM% 폴더에 ???.exe, ???? 의 숫자로 된 파일과 system.exe 파일을 삭제합니다.
3. 임시 폴더(%temp%)에 있는 ????.sys 파일을 삭제합니다.
4. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit 값이 삭제되어 있다면, "C:\WINDOWS\system32\userinit.exe," 와 같이 자신의 윈도우 설치 경로에 맞게 추가합니다. (문자열 값)
5. 컴퓨터 날짜를 현재 날짜로 다시 되돌립니다.
http://www.kaspersky.co.kr//download/u ··· 0-55.exe(클릭하시면 다운받으실 수 있어요)
사용법은...
1. 백신이 없거나 인터넷이 안되는 경우에 위 무료 백신을 다운받아 실행합니다.
2. 내 컴퓨터 전체 검사를 수행하여 바이러스를 삭제합니다.
2. 내 컴퓨터 전체 검사를 수행하여 바이러스를 삭제합니다.
만약 이 바이러스 땜시 부팅이 안되시는 상황이시라면,,
http://www.kaspersky.co.kr/registry_fixd.html에 들어가보세요.
응급복구 디스크를 이용한 부팅을 하는 방법을 알려드립니다.
다만, 카스퍼스키 백신을 깔아서 응급복구 디스크를 만들어야 하는 단점이 있습니다.
귀찮으시면 포맷 콜!
8. 정말 확실한 예방법은 뭔가요?
솔직히 오토런 해제, 바이러스백신도 100퍼센트 믿을 순 없습니다.
2090 바이러스는 서버 서비스의 취약점으로 인한 원격 코드 실행 문제점 이라는 취약점을 이용하기 때문에
그 취약점을 아예 제거해버리는 MS Windows vulnerability MS08-067 패치 를 설치하면 절대로 걸리지 않습니다.
패치는 자동업데이트로 2009년 2월 11일부터 자동업데이트로 제공하더군요.
마이크로소프트에서도 이 것 땜시 난리가 난 모양이더군요.
저도 당장 업데이트 했습니다.
9. 게토클로버 운영자가 생각하는 최강의 바이러스는?
지금은 너무나 바이러스가 많아서 말씀드리기 힘듭니다.
하지만 제가 생각하기에는 CIH바이러스가 최강자였다고는 말씀드릴 수 있을것 같군요.
물론 지금은 한물 가신 바이러스 분이시지만,
그 당시에는 엄청났습니다.
아마도 바이러스중에서 하드웨어를 자체를 망가뜨려버리는 바이러스는
이 CIH바이러스가 처음이자 마지막인 것 같습니다.
별명은 체르노빌 바이러스.
체르노빌 원전사고 13주년 기념 바이러스랍니다.
그 당시는 하드디스크의 용량이 2~4GB 정도되었습니다.
그런데 이 체르노빌 바이러스는 하드디스크의 데이터를 모두 날릴 뿐만 아니라,
하드디스크 안에는 새로운 파일을 저장할 때마다 공간을 지정해주는 주소록 기능을 수행하는 부분이 있는데, 이 바이러스는 바로 이곳을 파괴한답니다. 때문에 바이러스에 감염되면 PC가 어디에 무엇이 저장되어 있는지 파악할 수 없는 혼란에 빠져 파일을 복구할 수 없게 되어 하드디스크를 아예 갈아야 했고,
만약 기본 입출력 시스템(BIOS)이 감염되면 기판이나 플래시메모리칩을 교체해야 했습니다.
그런데, 4GB가 넘는 하드디스크는 포맷까지는 시킬 수 있으나,
하드웨어 자체를 망가뜨리는 것은 불가능합니다.
결국 지금 시점에서는 이 바이러스는 바이러스가 아니라고 봐도 무관할 정도입니다.
물론, 포맷 시킨다는 점에서는 아직까지도 위헙하긴 합니다.
정말 최악의 바이러스 였습니다.
그 피해 규모도 장난 아니었습니다.
1999년 4월 27일에는 전 세계의 컴퓨터 중 약 60만대를 맛이 가게 해버렸으며,
그 중 30만대는 우리 대한민국 컴퓨터랍니다.
얼마나 한국인이 보안에 취약한지를 알려줬던 사건이 되었지요.
우리나라가 이 체르노빌 바이러스한테 가장 많이 공격당한 나라랍니다! 베리베리 자랑스럽군요. ㅠㅠ
이 바이러스는 당시 유행하던 멜리사 보다는 전염력이 떨어졌지만, 피해는 장난 아니었습니다.
한국에서는 대부분 '무비 플레이어1.46'을 다운받고 설치하는 것을 통해서 감염되었습니다.
물론 인터넷 연결 자체로도 많은 감염이 있었습니다.
위의 근거를 바탕으로 제가 생각하기에는 CIH바이러스가 최강인 것 같습니다.(논술 분위기?)
10. 마치며...
이번 일을 계기로 오토런 바이러스 보호프로그램을 모두 설치하셨으면 하는 바람입니다.
항상 이것때문에 골치가 아프네요 ㅠㅠ
