중요파일 삭제하는 그루웜 확산 주의!

매월 3일, 워드, 엑셀 등 중요 파일 에러메시지로 덮어써 삭제

인터넷침해사고대응지원센터 관계자는 감염되면 매월 3일에 워드, 엑셀, 파워포인트 파일 등 중요 파일을 에러메시지로 덮어쓰는 그루웜(Grew worm)이 국내외에서 확산되고 있어 주의가 요구된다"고 경고했다.

그루웜은 백신회사에 따라 Blackworm, Blackmal, Nyxem, MyWife, Generic 등으로도 불리기도 한다. 주요 감염대상 시스템은 Windows 9x, ME, 2000, NT, XP, 2003 등이다.

전파 기법은 주로 웜 복사본을 첨부한 악성메일을 발송해 전파하거나 OS의 취약한 암호 설정을 악용해 전파한다. 또한 웜이 발송하는 악성 메일 유형으로 유포된다. 웜이 발송하는 메일 유형은 다양하다. 다음과 같은 유형의 메일을 수신할 경우 열어보지 않도록 주의해야 한다.

메일 제목은 대부분 "A Great Video", "Arab sex DSC-00465.jpg", "eBook.pdf" 등등이다. 메일본문은 ">> forwarded message", "forwarded message attached." "Fuckin Kama Sutra pics", "hello,", "Helloi attached the details." 등등으로 이루어졌다. 메일 첨부 형태는 04.pif, 007.pif, 392315089702606E-02,.scR, 677.pif 등등으로 유포를 시도하고 있다.

그루웜에 감염되면 오는 증상은 우선 ▼매월 3일이 되면 아래 확장자를 가지는 모든 파일 내용을 32byte 길이의 " DATA Error [47 0F 94 93 F4 F5] " 내용으로 덮어써 기존 데이터가 삭제돼 버린다. (확장자명 : *.ppt, *.doc, *.pdf, *.xls, *.zip, *.rar, *.mdb, *.mde, *.pps, *.psd, *.dmp)

또한 ▼마우스 및 키보드 사용 장애가 발생하고 ▼kaspersky, McAfee, TREND MICRO, Symantec 등의 백신 프로그램을 종료하고 삭제시키는 등의 증상이 발생한다.

그루웜 감염 피해를 예방하기 위해서는 우선 감염 여부부터 확인해야 한다. 확인방법으로는 아래와 같은 방법으로 감염 여부를 확인하면 된다.
① 시작 → 실행을 클릭
② 레지스트리 편집기를 실행
③ HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → Windows → CurrentVersion → Run 위치에 ScanRegistry = "scanregw.exe /scan" 가 존재하는지 확인하고 해당 레지스트리가 존재하면 감염된 것이다.

감염 예방을 위한 주의 및 대응 조치는 확인 되지 않은 메일 수신 시 메일 첨부 파일을 열어 보지 않는 것이다. 또한 윈도우즈 OS 암호를 추측하기 어렵게 설정하는 방법도 있다.

<암호를 설정하는 방법>
▶윈도우 XP의 경우
① 시작 → 제어판 선택
② 제어판에서 “사용자계정” 선택
③ “암호 만들기” 선택

▶윈도우2K 의 경우
"ctrl" , "Alt" , "Del" 을 동시에 누르고 화면이 나타나면 “암호 변경”을 클릭 후 변경하면 된다.

센터 관계자는 "불필요한 네트워크 공유를 해제하고 필요할 경우는 반드시 암호설정을 해야한다. 또한 백신을 최신으로 업데이트하고 실시간 감시기능 활성화 및 주기적인 점검"을 실시해야 바이러스로부터 안전할 수 있다"고 밝혔다.

그로웜 감염 시 치료 방법은 우선 자동 치료 방법으로 백신프로그램이 설치되어 있을 경우 최신 버전으로 업데이트한 후 점검을 실시해야 하고, 수동치료방법으로는 윈도우즈를 안전모드로 부팅. 부팅 시 F8을 누른 후 안전 모드 선택한다. 그 후 웜이 생성한 악성 코드를 삭제하면 된다.

윈도우 탐색기 → 도구 → 폴더 옵션 → 보기에서 "보호된 운영 시스템 파일 숨기기" 를 해제 및 '숨김 파일 및 폴더 표시'에 체크한 후 확인을 누른다.

웜이 생성한 아래의 파일을 삭제한다.
"시스템 폴더"\scanregw.exe
"시스템 폴더"\Update.exe
"윈도우 폴더"\Rundll16.exe
"시스템드라이브" \WINZIP_TMP.exe

또한, 시스템 폴더에 아래 이름의 파일이 존재할 경우 삭제해야 한다.
"시스템 폴더"\SAMPLE.ZIP
"시스템 폴더"\New WinZip File.exe
"시스템 폴더"\sample.zip
"시스템 폴더"\Update.exe
"시스템 폴더"\Winzip.exe
"시스템 폴더"\WINZIP_TMP.EXE

웜이 생성한 레지스트리 삭제를 위해서는 아래와 같다.

"시작" (윈동우 하단 위치) 클릭 → "실행" 클릭 → "regedit" 입력 후 아래의 폴더로 이동
HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → Windows → CurrentVersion → Run

아래 항목을 선택한 후 마우스 오른쪽 버튼을 눌러 삭제선택하면 된다.
ScanRegistry = "scanregw.exe /scan"

시작 → 설정 → 제어판 → 예약된 작업에서 WINZIP_TMP.exe를 실행시키는 예약 작업은 모두 삭제해야 한다. 그 후 윈도우를 재 부팅하면 된다.
[길민권 기자(is21@infothe.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)