본문 바로가기

[+] 유틸리티

알약에 공지된 2090바이러스 정보.

안녕하세요?
이스트소프트 알약 긴급대응팀입니다.

2월 9일부터 PC 시간을 2090년 1월 1일로 강제 변경하는 특징을 가진 V.WOM.Aimbot.CC가 확산되고 있습니다.

V.WOM.Aimbot.CC는 IRC(인터넷 릴레이 채팅) 서버를 통해서 전달되는 명령에 따라 악의적인 동작을 수행하므로 PC 사용자의 예방 조치를 필수적으로 시행하여야 합니다. 현재 알약에서는 오늘까지 발견된 2090 악성코드 및 변종에 대해 탐지 및 치료가 가능합니다.


- 감염 증상

1. 2090년 1월 1일 오전 10시로 변경시킵니다.
2. 레지스트리에 자기 자신을 등록하여 부팅 후에도 우선순위로 실행하도록 설정합니다.
3. 특정 IRC 서버의 접속을 시도합니다.
4. IRC 명령을 받아 ICMP 공격을 실행합니다.
5. 메모리 리소스를 과도하게 사용하여 시스템 속도 저하 및 다운 현상이 발생합니다.


- 치료 방법

1. 현재 알약에서는 V.WOM.Aimbot.CC에 대한 진단 및 치료가 가능합니다.
2. 최신의 알약 악성코드 DB로 업데이트하시고, 실시간 감시를 꼭 활성화 시켜주십시오.

해당 악성코드의 변종 발생 가능성이 높으므로, 알약으로 치료해도 같은 증상이 반복해서 나타나는 경우 알약의 신고하기 메뉴를 통해 혹은 알약 고객센터를 통해 신고를 부탁드립니다.


- 예방 방법

1. 마이크로소프트 업데이트(update.microsoft.com)에 접속하여 최신 윈도우 보안 패치를 설치합니다.
2. 알약의 DB를 최신버전으로 업데이트하시기 바랍니다.
3. 알약의 실시간 감시를 활성화 시킵니다.
4. USB 자동실행(Autorun)을 통한 감염을 막기위해 USB 자동실행을 차단합니다. USB자동실행차단 툴은 아래의 링크를 클릭하여 다운로드 받으시기 바랍니다.
> USB 자동실행 차단 툴 다운로드




- 기타 추가 조치사항

기업의 네트워크나 보안 관리자께서는 방화벽이나 IPS에서 61.193.240.* 대역의 TCP 81번 포트 접속을 차단시킵니다. 또한, 추가 변종이 나타날 경우를 대비하여 TCP 445, TCP/UDP 6665~6669번 포트 차단을 권장합니다.



USB 자동실행 차단 툴

  • Favicon of https://secretofsh.tistory.com BlogIcon SecretOfSh 2009.02.11 02:24 신고

    ㅎㅎ 그래도 큰피해는 없었나봐요. 저정도 악성코드를 분석할 경지에 오르려면 리버싱을 얼마나 해야할까요?

  • Favicon of http://ezclub.tistory.com BlogIcon 와후 2009.02.11 09:04

    헉. 해킹 및 보안 관련해서 궁금한거 있음 문의드릴께요
    예전에 저도 해킹에 관해 배우고 싶었는데.. 그냥 왠지 멋있어 보여서 ㅡ.ㅡ;;;;
    공부할게 많은 것 같더라구요 생각은 있으나 행동으로 옮기질 못해서 지금은 포기 OTL
    ^^ 나중에 또 올께요.. 정을 나눠드리고 갑니다 ^^