최신 업데이트가 되지 않은 터보백신 2001이나 터보백
신 Ai로 바이러스 진단시 W32/Klez.H@mm
에 의해 백신 진단이 불가능 해 질 수 있다.
이럴 경우에는 먼저 홈페이지에 접속하여 터보백신
Online으로 진단 치료를 선행 한 후에
터보백신 2001과 터보백신 Ai를 재 설치 해야 한다.
상세설명
인터넷 익스플로러의 보안패치가 되지 않는 경우 아웃
룩의 미리 보기만으로 첨부 파일이 실행 되어 바이러
스에 감염된다.
일단 감염이 되면 네트워크상의 읽기, 쓰기가 가능한
공유드라이브나 폴더에 자신을 복사하고, 자체메일 발
송기능을 통하여 windows의 주소록 을 뒤져 감염된
메일을 보내게 된다.
그런다음 윈도우의 시스템 폴더에 WINKxxx.EXE형식의
파일과xxx(임의의 숫자1개-3개).exe(예 : khi70.exe)
로 임의로 조합된 파일을 생성한다.
이 파일은 터보백신에서 Trojan-W32/Elkern.10240로
진단한다.
부팅시 자신을 실행하기 위해 다음과 같이 레지스트리
를 수정한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\
run Winkxxx(이름) = WINKxxx.EXE(데이타) (xxx 랜덤
한 2~3자리 영문자)
메일로 발송 될 경우 메일 제목은 일정치 않으나 대
체로 Undeliverable mail --(임의문자), Returned
mail--(임의문자) 등의 이름으로 배달되기도 한다.
웜이 실행되면 대부분의 외산 백신의 프로세스를 감지
하여 강제 종료
시키는데 국내 백신또한 바이러스 검사시 웜에 의해
강제 종료 당하는 현상이 발생 하였다.
현재 이와 같은 상황은 생성된 Winkxxx.exe가 아래의
목록과 같이 주요 백신의 프로세스 문자열을 인식하
여 해당 프로세스를 강제 종료 시키며
파일 자체를 삭제 하는 기능을 포함하고 있기 때문이
다.
또한 이 바이러스는 정상 파일에 감염이 이루어지면
(원래파일이름).xxx로 정상 실행파일의 확장자를
랜덤하게 변경하여 숨김속성으로 보관한다.
다음으로 (원래파일이름).exe의 가짜 실행 파일을 만
들어 놓은 다음 해당 프로그램 실행시 (원래파일이
름).xxx를 참조하여 (원래 파일이름)xxx.exe를 만들어
서 파일을 실행 하게 된다.
그러므로 정상파일이 감염되어 (원래파일이름).xxx를
삭제 하면 프로그램이 실행 되지 않는 현상이 발생 하
므로 반드시 터보 백신을 통하여 원래의 파일로 복구
해야 한다.
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com