바이러스 긴급경보

◎ I-Worm.Win32.Ratos.27136 신종웜 확산

신종 웜 'I-Worm.Win32.Ratos.27136' 가 이메일을 통해 국내에 확산됨에 따라 이에 대한 사용자의 주의가 요망됩니다.

이 웜은 자신이 침투한 컴퓨터의 주소록을 뒤져 "photos" 라는 제목으로 웜을 첨부한 이메일을 발송하면서 확산됩니다.

자체 SMTP 엔진을 이용해 메일을 보내므로 감염된 컴퓨터에서는 다량의 메일을 발송해 네트워크에 과부하를 줄 우려도 있으며, 감염된 컴퓨터는 사용자 몰래 특정 IRC 프로그램에 접속하고, 백신을 사용할 경우 업데이트 못 하도록 백신업체의 홈페이지에 접속하는 것을 방해하는 기능도 포함되어 있는 것으로 알려져 있습니다.

다음 메일 형식으로 전파된다.

- 보낸 이(발신자, 송신자) : 감염된 시스템에서 임의로 선택
- 받는 이(수신자) : 감염된 시스템에서 임의로 선택
- 제목 : photos
- 본문 : LOL!;))))
- 첨부파일 : photos_arc.exe


◎ 실행 후 증상

Win32/Ratos.worm.27136는 비쥬얼 C++로 제작되었으며 실행압축 되어 있다. 웜이 실행이 되면 윈도우 폴더와 윈도우 시스템 폴더에 다음의 파일들을 생성한다.

C:\윈도우 시스템 폴더\winpsd.exe (27,136 바이트)
C:\윈도우 폴더\rasor38a.dll (27,136 바이트)

주) 윈도우 폴더는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:\Windows, 윈도우 NT/2000은 C:\WinNT 폴더이다.

주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.


◎ 치료방법

1. 사용 제품(바이로봇/V3)을 실행 후 [업데이트] 버튼이나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다.

2. 검사할 드라이브를 지정하고 검사를 시작한다.

3. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다.

4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다.

5. 필요시 추가/변경 된 레지스트리 값은 자동수정된다