뉴스서천

[증상]

* 매년 4월 26일 플래시 메모리(Flash memory)의 내용과 모든 하드 디스크의 데이터를 파괴해 버린다.
* 평소보다 시스템이 느려 진다거나 인터넷 홈페이지에서 내용을 써넣는 칸에서 다음 항목으로 이동할 때 오랜 시간이 걸린다.

[내용]

-EXE, 상주형, 겹쳐쓰기형
-감염 도중 에러 발생, 시스템 정지, 매년 4월 26일에 플래시 메모리 및 하드 디스크 데이터 파괴

1998년 6월 대만에서 최초로 발견된 외국산 바이러스로 바이러스 제작자가 인터넷을 통해 바이러스를 퍼트린 것으로 추정되고 있다.

이 바이러스는 일부 셰어웨어 프로그램에 감염된 채 전세계로 확산되었으며, 한국에서도 비슷한 시기에 MoviePlay 1.46 버전에 감염된채 대형 통신망 공개 자료실 등에 등록되어 많은 피해가 발생했다. 또한 해적사이트를 통해 보급되는 일부 해적판 소프트웨어에 감염된 채 FTP 등을 통해 널리 퍼졌다.

바이러스에 감염된 파일이 실행되면 기억장소에 상주한 후 오픈되는 PE(Portable Executable)파일을 감염시키는데 기억장소 상주 방법과 감염 방법 모두 새로운 방법을 사용한다.

기존의 윈도우용 바이러스들은 주로 VxD를 사용해서 재부팅한 후 바이러스가 상주하지만 이 바이러스는 외부에 알려지지 않은 방법을 사용했다. 또한 파일 감염 방법 역시 기존 방법과 달리 파일에서 빈영역을 찾아 겹쳐쓰는 방법을 사용했다. 따라서 감염된 파일 크기의 변화는 없다.

하지만 자체적인 버그가 있어서 메모리에 상주되거나 파일 감염 도중 에러가 발생할 수 있다. 또한 WinZip Self Extracter 파일에 감염되면 자동풀림실행 압축파일에 에러가 있는 것으로 판단하고 아래와 같은 메시지를 출력한 후 압축이 풀리지 않는다.

"Winzip Self-Extractor header corrupt.
Possible cause; bad disk or file transfer error"

윈도우 95와 98에서는 메모리에 상주한 후 감염 활동을 할 수 있지만 윈도우 NT에서는 작동하지 않는다.

감염 후 특징적인 증상은 매년 4월 26일 플래시 메모리(Flash memory)의 내용과 모든 하드 디스크의 데이터를 파괴해 버린다.

플래시 메모리 데이터의 파괴 여부는 메인보드의 딥스위치(DIP switch)에 따라 달라진다. 즉, 최신 바이오스(BIOS)들은 소프트웨어적으로 업데이트 할 수 있도록 쓰기가 가능한 형태로 되어 있는데 이 경우 데이터가 파괴될 수 있으며, 일부 보드에 따라서는 플래시 메모리에 쓰레기 값이 입력될 때 시스템이 정지되는 경우도 있다.

감염 파일 내부에는 다음과 같은 문자열이 존재한다.

"CIH v1.2 TTIT"

[치료방법]

V3+ Neo / V3Pro 98 / V3Pro 2000 Deluxe로 치료가 가능하다.
V3Pro 98의 경우 v3.03 이전 버전이라면 V3Pro 98 파일 자체가 감염된 경우에 "V3Pro 98 패치파일"을 다운로드 받아 설치해야만 자체 백신 프로그램 파일의 치료가 가능하다.

WIN95/CIH 바이러스에 감염된 파일을 V3Pro 98 또는 V3+ Neo로 치료하려고 할 때 "치료불가" 또는 "파일 속성을 바꿀 수 없습니다."의 메시지가 출력되는 것은 감염된 파일이 실행 중이기 때문이며 이것은 윈도우 환경(도스창 포함)에서는 실행중인 파일을 수정하거나 삭제할 수 없기 때문이다.

다음의 치료방법으로 치료한다.

V3Pro 2000 Deluxe 사용자는 윈도우 환경에서도 치료가 가능하므로 아래의 방법은 필요가 없으며 V3+ Neo / V3Pro 98 사용자만 참고한다.

도스모드로 부팅한 경우(V3Pro 98 사용자만 해당)
1. CD \V3 (V3Pro 98 / V3+ Neo가 설치된 폴더로 이동)
2. V3 c: /a (V3를 이용하여 하드디스크를 검사)
3. 발견된 바이러스를 치료한다.

또한 이 바이러스는 파일의 빈 영역을 찾아 이곳에 바이러스가 겹쳐쓰는 형태로 동작하므로 일부 파일의 경우 이 영역이 부족해 감염되면서 파일이 손상되는 경우가 있다. 이럴 경우에는 해당 프로그램을 삭제하고 다시 설치해야 하며 윈도우 시스템 파일에 감염되어 많은 파일들이 감염된 경우 중요한 데이터를 백업해 놓고 포맷 후에 윈도우를 재설치 하는 것도 좋은 방법이다.

참고로 도스모드는 컴퓨터 부팅시 "Starting Windows95/98"이라는 메시지가 출력될 때 키를 눌러 "Command Prompt Only Mode" 메뉴로 부팅하거나, 윈도우의 시스템 종료시에 "MS-DOS 모드에서 시스템 다시 시작"으로 나갈 수 있다.

다른 방법으로는 V3Pro 98 / V3Pro 2000 Deluxe에 포함된 도구 - SOS 디스켓제작 기능으로 만든 디스크를 이용해 부팅후 V3 c: /a 명령을 이용해도 하드디스크를 검사할 수 있다.

[참고사항]

- 레코딩해 놓은 CD에서 CIH 바이러스가 발견된 경우
V3Pro 98 / V3Pro 2000 Deluxe의 시스템 감시 기능을 꺼놓은 후 필요한 파일을 하드디스크의 임의의 폴더에 복사하고 다시 시스템 감시 기능을 켜고 복사한 파일을 검사 / 치료한 후에 사용하며 감염된 CD는 폐기한다.

- 파괴 증상에 대한 대처 방법
이미 CIH 바이러스에 감염되어 파괴 증상이 나타나 컴퓨터의 부팅이 되지 않는다면 백신 프로그램에 의해 복구는 불가능하다.

* 부팅은 되지만 하드디스크가 인식되지 않는 경우라면
1. 하드디스크에 중요한 내용이 있다면 데이터 복구 전문점에 의뢰해 데이터를 복구해야 한다.
2. 중요한 내용이 없다면 다른 시스템에서 부팅 디스크를 만들어 그곳에 FDISK.EXE FORMAT.COM 프로그램을 복사해서
3. 디스크로 부팅하신 후 FDISK /MBR 명령으로 마스터 부트 레코드 부분을 초기화 하신후 FDISK 프로그램을 이용해 파티션을 분할하고 포맷해서 다시 사용한다.
4. 부팅도 되지 않는다면 하드디스크와 메인보드가 손상된 경우이다. 해당 메인보드를 구입한 곳이나 메인보드 제조업체 또는 A/S 센터에 문의해 메인보드의 롬 BIOS 부분을 교체해서 사용해야 한다.

자료출처 : http://home.ahnlab.com/(안철수연구소)

2002-04-25 11:45:04

61.254.255.2