회원가입

로그인

아이디
비밀번호
ID/PW 찾기
아직 회원이 아니신가요? 회원가입 하기

Warning! CIH Virus...

Profile
:맥노턴
출처 : AhnLab. (안철수바이러스연구소)

CIH

-EXE, 상주형, 겹쳐쓰기형
-감염 도중 에러 발생, 시스템 정지, 매년 4월 26일에 플래시 메모리 및 하드 디스크 데이터 파괴

1998년 6월 대만에서 최초로 발견된 외국산 바이러스로 바이러스 제작자가 인터넷을 통해 바이러스를 퍼트린 것으로 추정되고 있다.

이 바이러스는 일부 셰어웨어 프로그램에 감염된 채 전세계로 확산되었으며, 한국에서도 비슷한 시기에 MoviePlay 1.46 버전에 감염된채 대형 통신망 공개 자료실 등에 등록되어 많은 피해가 발생했다. 또한 해적사이트를 통해 보급되는 일부 해적판 소프트웨어에 감염된 채 FTP 등을 통해 널리 퍼졌다.

바이러스에 감염된 파일이 실행되면 기억장소에 상주한 후 오픈되는 PE(Portable Executable)파일을 감염시키는데 기억장소 상주 방법과 감염 방법 모두 새로운 방법을 사용한다.

기존의 윈도우용 바이러스들은 주로 VxD를 사용해서 재부팅한 후 바이러스가 상주하지만 이 바이러스는 외부에 알려지지 않은 방법을 사용했다. 또한 파일 감염 방법 역시 기존 방법과 달리 파일에서 빈영역을 찾아 겹쳐쓰는 방법을 사용했다. 따라서 감염된 파일 크기의 변화는 없다.

하지만 자체적인 버그가 있어서 메모리에 상주되거나 파일 감염 도중 에러가 발생할 수 있다. 또한 WinZip Self Extracter 파일에 감염되면 자동풀림실행 압축파일에 에러가 있는 것으로 판단하고 아래와 같은 메시지를 출력한 후 압축이 풀리지 않는다.

"Winzip Self-Extractor header corrupt.
Possible cause; bad disk or file transfer error"

윈도우 95와 98에서는 메모리에 상주한 후 감염 활동을 할 수 있지만 윈도우 NT에서는 작동하지 않는다.

감염 후 특징적인 증상은 매년 4월 26일 플래시 메모리(Flash memory)의 내용과 모든 하드 디스크의 데이터를 파괴해 버린다.

플래시 메모리 데이터의 파괴 여부는 메인보드의 딥스위치(DIP switch)에 따라 달라진다. 즉, 최신 바이오스(BIOS)들은 소프트웨어적으로 업데이트 할 수 있도록 쓰기가 가능한 형태로 되어 있는데 이 경우 데이터가 파괴될 수 있으며, 일부 보드에 따라서는 플래시 메모리에 쓰레기 값이 입력될 때 시스템이 정지되는 경우도 있다.

감염 파일 내부에는 다음과 같은 문자열이 존재한다.

"CIH v1.2 TTIT"


<치료방법>
■ 증상

WIN95/CIH 바이러스에 감염된 경우 평소보다 시스템이 느려 진다거나 인터넷 홈페이지에서 내용을 써넣는 칸에서 다음 항목으로 이동할 때 오랜 시간이 걸리는 증상이 있습니다.

■ 치료 방법

최신 날짜의 V3+ Neo / V3Pro 98 / V3Pro 2000 Deluxe에서 치료가 가능합니다. V3Pro 98의 경우 v3.03 이전 버전이라면 V3Pro 98 파일 자체가 감염된 경우에 "V3Pro 98 패치파일"을 다운로드 받아 설치하셔야만 자체 백신 프로그램 파일의 치료가 가능합니다.

WIN95/CIH 바이러스에 감염된 파일을 V3Pro 98 또는 V3+ Neo로 치료하려고 할 때 "치료불가" 또는 "파일 속성을 바꿀 수 없습니다."의 메시지가 출력되는 것은 감염된 파일이 실행 중이기 때문이며 이것은 윈도우 환경(도스창 포함)에서는 실행중인 파일을 수정하거나 삭제할 수 없기 때문입니다.

다음의 치료방법으로 치료하시기 바랍니다.

V3Pro 2000 Deluxe를 사용하시는 분은 윈도우 환경에서도 치료가 가능하므로 아래의 방법은 필요가 없으며 V3+ Neo / V3Pro 98을 사용하시는 분만 참고해 주시기 바랍니다.

도스모드로 부팅했다면(V3Pro 98 사용자분만 해당)

1. CD V3 (V3Pro 98 / V3+ Neo가 설치된 폴더로 이동)

2. V3 c: /a (V3를 이용하여 하드디스크를 검사)

3. 발견된 바이러스를 치료합니다.

또한 이 바이러스는 파일의 빈 영역을 찾아 이곳에 바이러스가 겹쳐쓰는 형태로 동작하므로 일부 파일의 경우 이 영역이 부족해 감염되면서 파일이 손상되는 경우가 있습니다. 이럴 경우에는 해당 프로그램을 삭제하고 다시 설치하여야 하며 윈도우 시스템 파일에 감염되어 많은 파일들이 감염된 경우 중요한 데이터를 백업해 놓고 포맷후에 윈도우를 재설치 하시는 것도 좋은 방법입니다.

참고로 도스모드는 컴퓨터 부팅시 "Starting Windows95/98"이라는 메시지가 출력될 때 키를 눌러 "Command Prompt Only Mode" 메뉴로 부팅하시거나, 윈도우의 시스템 종료시에 "MS-DOS 모드에서 시스템 다시 시작"으로 나갈 수 있습니다.

다른 방법으로는 V3Pro 98 / V3Pro 2000 Deluxe에 포함된 도구 - SOS 디스켓제작 기능으로 만든 디스크를 이용해 부팅후 V3 c: /a 명령을 이용하셔도 하드디스크를 검사하실 수 있습니다.

■ 알아두실 사항

레코딩해 놓은 CD에서 CIH 바이러스가 발견된 경우에는 V3Pro 98 / V3Pro 2000 Deluxe의 시스템 감시 기능을 꺼놓으신 후 필요한 파일을 하드디스크의 임의의 폴더에 복사하시고 다시 시스템 감시 기능을 켜고 복사한 파일을 검사 / 치료하신 후에 사용하시기 바라며 감염된 CD는 폐기하시기 바랍니다.

■ 파괴 증상에 대한 대처 방법

이미 CIH 바이러스에 감염되어 파괴 증상이 나타나 컴퓨터의 부팅
이 되지 않는다면 백신 프로그램에 의해 복구는 불가능합니다.

부팅은 되지만 하드디스크가 인식되지 않는 경우라면

1. 하드디스크에 중요한 내용이 있다면 데이터 복구 전문점에
의뢰해 데이터를 복구하셔야 합니다.

2. 중요한 내용이 없다면 다른 시스템에서 부팅 디스크를 만들
어 그곳에 FDISK.EXE FORMAT.COM 프로그램을 복사해서

3. 디스크로 부팅하신 후 FDISK /MBR 명령으로 마스터 부트 레
코드 부분을 초기화 하신후 FDISK 프로그램을 이용해 파티션을 분할하고 포맷해서 다시 사용하시기 바랍니다.

4. 부팅도 되지 않는다면 하드디스크와 메인보드가 손상된 경
우입니다. 해당 메인보드를 구입하신 곳이나 메인보드 제조업체 또는 A/S 센터에 문의해 메인보드의 롬 BIOS 부분을 교체해서 사용하셔야 합니다.

................................

맥노턴의 직접 감지한 기본 감염 증상

1. 감염된 자동 압축풀림 ZIP 파일에서 에러가 납니다.
2. 브라우저로 ID / Password를 입력하는 경우에 다음 입력칸으로 넘어갈때 시간이 오래 걸립니다.
3. 왠지모르게 껄쩍지근 합니다.

맥노턴이 추천하는 대처 방법

1. 방역 소독에 최대한 노력합시다.
예방이 중요. 공개 백신 프로그램으로 좍~ 돌리십시오. 이렇게 검사를 하면 대부분은 피해를 막을 수 있습니다. 바이러스 정의를 최근의 것으로 업데이트 하시는것 잊지 마십시오. 오래된 바이러스 정의는 무용지물입니다.

2. 날짜를 변경하십시오. (추천하지 않음)
추천하지 않지만, 그래도 못믿겠다 싶으시면 CMOS의 날짜를 26일 이전이나 이후로 변경하십시오. 하지만, 절대 근본적인 치료법은 아닙니다. 언발에 오줌누기라고 할까요? 백신을 활용하십시오.

3. 네트워크로 파일 다운로드를 최대한 자제합니다.
감염된 파일을 실수로 다운로드하여 실행할 경우 불상사가 발생할 수 있습니다.

4. 백신의 자동 감시 기능을 항시 켜 놓습니다.
네트워크 검사와 파일 감시 등의 기능을 켜 놓습니다. 늘 켜 놓으시면 시스템의 속도는 약간 떨어지지만 정말 예상치 못한 경우를 막아줍니다.

5. NT환경에서는 동작하지 않습니다.
작업을 윈도우즈 NT나 윈도우즈 2000을 이용하십시오. 내 시스템의 감염된 파일이 동작은 하지는 않으나, 내 시스템의 감염된 파일을 다른 사람에게 전송할 경우 상대방이 피해를 입을 수 있습니다. 4번의 감시기능을 동작시켜 놓으십시오.

Profile
:맥노턴
레벨 30
569476/686490
81%
McNorton & Education Lab.
Director
댓글
0
댓글 쓰기
권한이 없습니다.

로그인

아이디
비밀번호
ID/PW 찾기
아직 회원이 아니신가요? 회원가입 하기