PC를 다운시키는 2090 바이러스?

아래 기사를 읽어보면 이 바이러스에 감염된 후에는 시스템 시간이 2090년 1월 1일로 수정되며, 제대로 컴퓨터 사용이 불가능할 정도로 시스템을 망가뜨린다는 듯…

http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=53573

포멧을 해도 다시 바이러스에 감염되는 증상을 보였다고 한다.

그런데 우선 첫째, 하드를 깨끗이 비우고, 윈도우를 다시 설치한 뒤 아무 것도 안했는데 다시 바이러스에 감염된다는 상황을 이해할 수 없다.

저런 상황을 만들어 내려면 바이러스가

1. 컴퓨터를 키면 감염된 바이오스가 네트워크를 통한 부팅을 통해 하드에 있는 윈도우에 바이러스를 감염시킨다.
2. 컴퓨터를 키면 감염된 바이오스가 무조건 하드디스크에 있는 윈도우에 바이러스를 감염시킨다.

위와 같은 식으로 동작해야만 할 것 같은데, 바이오스용 롬에 저렇게 복잡한 코드가 들어갈만큼 여유가 있는지는 모르겠다. 그리고 그런 공간이 있다고 해도 바이오스의 종류에 상관없이 문제 없이 돌아가는 코드를 삽입하는 것이 가능한 건지 의문이 생긴다.

만약 위의 경우가 아니라면 아래와 같은 상황일 것으로 보이는데…

3. 같은 네트워크에 있는 다른 감염된 PC가 새로 설치된 윈도우의 보안 허점을 이용해서 바이러스를 감염시킨다.

이 상황이라면 미리 서비스팩이라거나 보안 업데이트를 받아놓고, 네트워크에서 언플러그된 상태로 윈도우를 재설치한 후 미리 받아놓은 보안 업데이트를 적용하기 전에는 네트워크에 물려선 안될 것으로 보인다.

뭐 절대 아니라곤 생각하지만 만약 1번이나 2번 같은 경우, 시스템에 윈도우가 아닌 리눅스가 깔려있다면 과연 무슨 일이 벌어질까? ;)

혼자 열심히 상상의 나래를 펼치다 엠파스 뉴스를 보게 되었는데, 이 뉴스에 따르면 2090 바이러스도 autorun.inf를 이용해서 전파되는 특성을 가지고 있다고 한다.

http://news.empas.com/issue/show.tsp/cp_ch/6681/20090210n22288/

autorun을 이용해 전파되는 바이러스를 막기 위해 모든 usb 메모리들이 쓰기 보호된 (내용은 비어있는) autorun.inf를 담고 팔린다면 이런 문제를 피해갈 수 있을텐데… ‘USB 메모리에 빈 autorun.inf를 쓰기 보호된 파일로 담아두세요!’ 정도의 계몽 캠페인이라도 하나 벌여야겠다.

autorun을 이용해서 전파되는 바이러스를 처음 봤을 때 참 기발하다는 생각을 했다. 그만큼 강한 전파력을 자랑하기도 했고, 하지만 한편으로는 남에게 피해를 끼치기 위한 방법을 발견해내는데 자신이 가진 재능을 낭비하는 사람들이 안타깝기도 했다.

저러다가 자기가 만든 바이러스에 당해봐야 정신 차릴텐데…

Trojan: VBS/Autorun.B

평소와 다름 없이 Filezilla 를 실행시키고, 몇 가지 작업을 하려고 보니 이게 왠걸… 모든 드라이브 루트에 autorun 으로 시작되는 수 많은 파일들이 있는게 아닙니까! filezilla server 를 띄워놓았기 때문에 ftp 를 통해서 누군가 접근한게 아닌가 싶었지만 ftp 로 접근할 수 없는 드라이브에도 똑같은 파일들이 존재하는 것으로 보아 바이러스/트로이목마 에 감염된게 아닌가 의심이 들더군요. 검색을 해보니 역시나 트로이목마 였습니다.

이 바이러스에 걸리게 될 경우 주기적으로 모든 드라이브의 루트에 autorun 과 관련된 파일을 생성시키게 되는데, 요새는 usb 드라이브를 이용해서 파일을 주고 받는 일이 많다보니 usb 드라이브를 통해 이 트로이목마에 감염될 확률이 굉장히 높습니다.

v3 2007 에서는 잡아내지를 못하는 것 같고. 캐스퍼나 f-prot 에서는 잘 찾아내네요. 백신 혐오증이 있으신 분들이라면 c:\windows\system32 폴더에서 autorun 으로 시작하는 모든 파일을 제거하시고, (거기 그런 파일이 있을 이유가 없으니 다 지워도 될 것 같습니다.) 다른 드라이브 루트에 있는 autorun.* 파일도 제거하시면 됩니다.

단 내 컴퓨터에서 c:, d: 같은 드라이브를 더블클릭해서 열 경우 autorun 이 실행되기 때문에 system32 폴더에 있는 파일을 지운 후라도 다시 감염이 될 수 있습니다. -_-; 꼭 마우스 오른쪽 버튼을 누르신 후 ‘탐색’ 을 선택하시기 바랍니다.

또 이 트로이목마에 감염되어 있을 경우 ‘숨김파일 표시’ 옵션을 키더라도 autorun 파일이 보이질 않습니다. Filezilla 의 탐색기나 Nero 의 탐색기 등을 이용할 경우에는 파일이 제대로 표시되므로 이런 프로그램들을 이용하시면 간단히 트로이목마에 감염되었는지 여부를 알 수 있겠네요.