2090 바이러스

2090 바이러스는 컴퓨터 바이러스의 하나이다. 제작국은 불분명하다. 공식적으로는 Win32/AimBot.worm.15872 , V.WOM.Aimbot.CC등으로 명명되었으나, 주요 증상인 시스템의 날짜를 2090년으로 바꾸는 증상으로부터 '2090 바이러스'로 잘 알려졌다. 이 바이러스는 마이크로소프트 윈도우의 오토런 취약점^[1]을 이용해 외장 저장 장치등을 통해 전염되는 웜 바이러스이다. 한국 표준시 기준으로 2009년 2월 9일 처음 보고되었으며, 2009년 2월 7일부터 감염 활동 시작으로 추정되는 컴퓨터 바이러스이다. 이 바이러스는 윈도의 취약점을 이용한 바이러스라고 마이크로소프트 사(社)는 밝혔다.^[2]

이 바이러스는 주로 대한민국 지역의 컴퓨터에서 감염 보고가 있으며, 제작국은 아직 불분명하다. 한편, 누리꾼들에 의해 이 악성코드의 위험이 과장되었다는 의견이 있다.^[3]

증상[편집]

컴퓨터의 시간을 2090년 1월 1일 오전 10시로 변경한다.
윈도 폴더내의 하위폴더인 System32 폴더에 임의의 7자리의 숫자로 된 악성코드 복사본 파일, 외부로부터 내려받아진 3자리 숫자로 된 악성코드 파일, 사용자 계정 폴더의 Local Settings 폴더의 하위폴더인 Temp 폴더에는 임의의 5자리의 숫자로 된 확장자 sys의 파일을 생성한다.
기능 수행을 위해 시스템 자원을 과도하게 사용하여 컴퓨터의 동작이 중단될 수 있다.
드라이버 충돌로 인한 블루스크린의 발생 가능성이 있다.
부팅 후 자동 실행이 되기 위해 userinit.exe 키 값을 변경한다. Userinit 값의 삭제로 인해 등록이나 등록 후 정상적인 인식을 하지 못하거나 버그로 인해 로그온/로그오프를 반복하기도 한다. 주로 윈도우 XP의 서비스 팩 3이 설치된 시스템 중 일부에서 반복 현상이 일어난다고 알려져있다.
특정 IRC 채널에 접속, 방장이 내리는 명령에 따라 다양한 악의적 기능을 수행한다.
MS08-067 취약점을 이용하여 TCP 445 포트를 스캔하고 대상 시스템에 취약점이 존재하면 익스플로잇 코드를 전송하여 전파한다.
오토런을 악용한 전파를 위해 외부 저장장치에 explorer.exe(악성코드), Autorun.inf(오토런)을 생성한다.
동일 네트워크에 존재하는 시스템에 Arp와 Ping 패킷을 보내고, 445포트를 이용한 취약점 스캔으로 네트워크에 과부하를 초래한다.

누리꾼들 사이에서 바이오스 상주와 포맷 후에도 제거되지 않는다는 루머가 있으나, 이 악성코드의 감염 경로를 통한 재감염으로 인해 발생하는 오해이다.^[4]

감염 경로[편집]

관련 취약점: MS08-067, RPC DCOM(MS03-039)
외부로부터 들어온 악성코드의 복사본의 실행
오토런(자동 실행)을 악용, 네트워크 드라이브 또는 USB 플래시 메모리, 외장형 하드디스크 등과 같은 외부 저장 장치를 통해 감염되고 확산되는데 감염 여부를 확인하고 치료를 해야한다. 오토런을 사용 안하는 방식으로 직접 실행이 없는 한 방어가 가능하다.
이 악성코드는 기생형이 아니므로 파일을 감염시키지 않는다.^[5] 그러므로 다운로드 받은 파일에 의한 감염 가능성은 매우 낮다.

치료 및 예방법[편집]

취약점인 KB958644 (MS08-067)를 패치한다.^[1]
침입 경로인 TCP 139 포트와 TCP 445 포트를 차단한다.
치료하였더라도, 다시 감염되지 않기 위해서는 최신 데이터베이스로 업데이트된 백신과 방화벽 사용을 권장한다.
외부 저장 장치의 자동 실행 기능을 비활성화한다.
전용백신을 다운받아서 치료한다.
수상한 사이트나 이메일을 열어보지 않는다.

변종[편집]

이 바이러스의 변종으로 2070 바이러스가 있다. 부여된 정식 명칭은 Backdoor.Win32.IRCBot.15872.I이며, 증상은 컴퓨터 시간을 2070년 1월 1일 오전 10:00로 바꾸는 것 외에는 2090 바이러스와 동일하다.^[6]

각주[편집]

↑ ^가 ^나 {{웹 인용 |url=http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx# |제목=MS08-067 [[오토런 |확인날짜=2009-02-11 |보존url=https://web.archive.org/web/20090214150041/http://www.microsoft.com/korea/technet/security/bulletin/ms08-067.mspx# |보존날짜=2009-02-14 |url-status=dead }}
↑ 디지털뉴스부 (2009년 2월 12일). “2090바이러스, MS社 취약점 ‘인정’…보안업체들 백신 공개”. 아이비타임즈. 2009년 2월 12일에 확인함. ^{[깨진 링크(과거 내용 찾기)]}
↑ 장윤정 (2009년 2월 12일). “2090바이러스 피해 “생각보다 크지 않아””. 전자신문. 2009년 2월 12일에 확인함.
↑ 김정완 (2009년 2월 11일). “2090 바이러스, “부정확한 내용 확산 불안심리 조장””. 보안뉴스. 2009년 2월 13일에 확인함.
↑ 김정완 (2009년 2월 11일). “2090 바이러스, “기생형 바이러스 아닌 웜 형태 악성코드””. 보안뉴스.
↑ 이유지 (2009년 2월 18일). “2090 바이러스 변종, ‘2070 바이러스’ 등장”. 디지털데일리. 2009년 2월 18일에 확인함.

외부 링크[편집]

[ms08-067-1] 가 ^나 {{웹 인용 |url=http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx# |제목=MS08-067 [[오토런 |확인날짜=2009-02-11 |보존url=https://web.archive.org/web/20090214150041/http://www.microsoft.com/korea/technet/security/bulletin/ms08-067.mspx# |보존날짜=2009-02-14 |url-status=dead }}

[2] 디지털뉴스부 (2009년 2월 12일). “2090바이러스, MS社 취약점 ‘인정’…보안업체들 백신 공개”. 아이비타임즈. 2009년 2월 12일에 확인함. ^{[깨진 링크(과거 내용 찾기)]}

[3] 장윤정 (2009년 2월 12일). “2090바이러스 피해 “생각보다 크지 않아””. 전자신문. 2009년 2월 12일에 확인함.

[4] 김정완 (2009년 2월 11일). “2090 바이러스, “부정확한 내용 확산 불안심리 조장””. 보안뉴스. 2009년 2월 13일에 확인함.

[5] 김정완 (2009년 2월 11일). “2090 바이러스, “기생형 바이러스 아닌 웜 형태 악성코드””. 보안뉴스.

[6] 이유지 (2009년 2월 18일). “2090 바이러스 변종, ‘2070 바이러스’ 등장”. 디지털데일리. 2009년 2월 18일에 확인함.

[1]

[2]

[3]

[4]

[5]

[6]