2090 바이러스

위키백과 ― 우리 모두의 백과사전.

보안 업체에서는 Win32/AimBot.worm.15872 , V.WOM.Aimbot.CC 등으로 진단되며 일반 누리꾼들 사이에는 2090 바이러스라고 알려진 이 바이러스는 백신업체에는 한국 표준시 기준으로 2009년 2월 9일 보고되었으며, 2009년 2월 7일 부터 감염 활동이 시작되었다고 추정되는 컴퓨터 바이러스이다.

이 바이러스는 주로 대한민국 지역의 컴퓨터에만 감염 보고가 있는 것으로 알려져있다.

[편집] 증상

컴퓨터 시간을 2090년 1월 1일 오전 10시로 고정
윈도우 시스템 폴더^[1]에 임의의 숫자 7(일곱)자리로 된 악성코드 복사본 파일, temp^[2] 폴더에는 임의의 5(다섯) 자리로 된 sys 파일을 생성
(일부 시스템) 기능 수행을 위해 CPU와 메모리의 리소스를 과도하게 사용하게 되는 경우가 일어날 수 있으며 그에 따라 컴퓨터가 다운 될 수 있다.
(일부 시스템) 드라이버 충돌로 인한 블루스크린(BSOD) 발생 가능성이 있다.
부팅 후 자동 실행이 되기위해 레지스트리 키 값을 등록한다. 일부 시스템에서 등록이나 등록 후 정상적인 인식을 하지 못하거나 버그로 인해 로그온/로그오프를 반복하기도 한다. 주로 윈도우 XP 서비스 팩 3 이용 시스템 중 일부에서 해당 현상이 일어난다고 알려져있다.

누리꾼들 사이에서 바이오스 상주 가능성과 포맷 후 찌꺼기 잔여 가능성이 제기되었으나, 재감염으로 인해 오해한것으로 보인다.^[3]

[편집] 감염 경로

관련 취약점: MS08-067, RPC DCOM(MS03-039)
인터넷 사이트, 블로그, 커뮤니티, 그 외 경로를 통해 감염 파일을 다운로드 후 실행
오토런(자동 실행)을 악용, 네트워크 드라이브 또는 USB 플래시 메모리, 외장 하드 등과 같은 외부 저장 장치를 통해 감염되고 확산되는데 감염 여부를 확인하고 치료를 해야한다. 오토런을 사용 안하는 방식으로 직접 실행이 없는 한 방어가 가능하다.

[편집] 치료법

안철수연구소와 카스퍼스키랩, 잉카 인터넷 등 에서 전용백신을 만들어 배포하고있으며, 알약과 바이로봇, 바이러스체이서 등의 제품군의 최신 업데이트를 통해 진단/치료가 제공된다.

하지만, 웜의 버그로 시스템이 정지된 것처럼 보일 수 있어 치료가 힘들 수 있다.

[편집] 예방법

MS08-067 패치
445 포트 차단 (네트워크 침입경로)
백신의 실시간 검사 사용 및 방화벽 사용
신뢰할 수 없는 사이트 접속, 신뢰할 수 없는 이메일 열어보기, 신뢰할 수 없는 프로그램 다운로드를 하지 않기.

[편집] 주석

↑ 윈도우 9x/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32(시스템에 따라 다를 수 있음)
↑ C:\Documents and Settings\사용자 계정명\Local Settings\Temp(시스템에 따라 다를 수 있음)
↑ “2090 바이러스, “부정확한 내용 확산 불안심리 조장””, 《보안뉴스》, 2009년 2월 11일 작성. 2009년 2월 11일 확인.