고객지원

  • 온라인 고객센터
    • 공지사항
    • 자주묻는 질문
    • 신고하기
    • 사용자 제안
  • 공개용 고객지원
    • 문의전화 안내
    • 이메일 문의
    • 내 문의내용 확인
  • 기업용 고객지원
    • 문의전화 안내
    • 이메일 문의
    • 내 문의내용 확인
    • 라이선스 관리

보안위험레벨

LEVEL1 (정상)

최신 DB 업데이트

기업/기관별 구매상담

기업

다우데이타

070-8707-3133E-mail
공공

가온아이

02-2140-5804E-mail
교육

이스트소프트

070-8850-8475E-mail
PC방
카발홈페이지 참조카발홈페이지 참조
상세보기
번호 64 제목 [보안공지] V.WOM.NateOn.331776 악성코드 주의
분류 안내 등록일 2009-02-24
안녕하십니까?

이스트소프트 알약 긴급대응팀입니다.

네이트온, 버디버디 메신저등의 쪽지를 통하여 그림링크 클릭 유도 형식으로 전파되기 시작한 악성코드 (V.WOM.NateOn.331776)의 활동이 아직도 지속되고 있어 사용자 여러분의 주의가 필요한 상황입니다.

해당 악성코드는 IRC봇 악성코드이며, 감염시킨 PC에서 백신의 정상적인 설치와 동작을 방해하는 특성으로 인해 2월 17일에 최초 발견된 이후, 여전히 일부 사용자들에게 불편함을 주고 있습니다.

알약에서는 현재 해당 악성코드를 진단하고 치료하고 있으므로, 항상 DB를 최신버전으로 유지해주시고, 실시간 감시 기능을 활성화 시켜두셔야 합니다.


[영향받는 시스템]

Windows 2000
Windows XP
Windows Server2003
Windows Vista
Windows Server2008


[감염 경로]

메신저 등을 통해 다운로드 링크 URL 형태로 배포됩니다.


[감염 증상]

1) 서비스 레지스트리에 키값을 등록시켜 일부 백신 프로그램이 동작할수 없게 만듭니다.
2) 아래의 경로로 설치되는 백신 프로그램의 파일 삭제를 시도합니다.
\Program Files\ESTsoft\ALYac
\Program Files\AhnLab
\Program Files\Kaspersky Lab
\Program Files\Geot
\Program Files\Naver\NaverPCGreen
\Program Files\Symantec AntiVirus
\Program Files\Norton
\Program Files\Symantec
\Program Files\Common Files\Symantec Shared
\Program Files\Alwil Software
\Program Files\Eset
\Program Files\NoAD2
\Program Files\Digitalonnet
\Program Files\PcdrAntiVirus
\Program Files\PCClearPlus
\Program Files\PC-Clean
\Program Files\PC-CleanV
\Program Files\INCAInternet
\Program Files\PCFree
\Program Files\SpyDoctorPlus
\Program Files\TC-Hacking
\Program Files\ViScanPro
\Program Files\anticlean
\Program Files\PatchUp_Plus
\Program Files\Virus Chaser
\Program Files\KT
\Program Files\HAURI
3) 악성코드 실행시 사용자에게 특정 그림 파일을 보여주어 이미지 파일인 것처럼 위장합니다.

4) V.WOM.NateOn.331776 변종에 따라서는 호스트 파일(C:\Windows\System32\drivers\etc\hosts)을 변조하여 백신의 업데이트와 메신저 고객센터 홈페이지 접속을 방해합니다.
208.98.xx.xx xxxxx.xxx.kaspersky.com
208.98.xx.xx xxx.alyac.co.kr
208.98.xx.xx xxx.viruschaser.net
208.98.xx.xx xxx.ahnlab.com
208.98.xx.xx xxxxxxxx.buddybuddy.co.kr
208.98.xx.xx xxxxxxxx.nate.com

※ 2009년 3월 2일에 변종이 추가로 발견되어 감염 증상을 업데이트 하였습니다.


[치료 방법]

현재 알약에서는 해당 악성코드를 V.WOM.NateOn.331776로 진단하고 있으며, 치료가 가능합니다.
알약을 설치하여 최신DB로 업데이트한 후 수동으로 검사를 실시합니다. 온라인에서 알약 업데이트가 불가능하신 분들은 수동DB업데이트 파일을 다운로드하여 최신DB로 업데이트하시기 바랍니다.


[전용백신 치료 방법]

알약에서는 해당 악성코드에 대한 전용백신을 제공하고 있습니다. 아래의 전용백신을 다운로드 받아 실행합니다.
(실시간 감시 기능은 알약 전용백신에서는 제공하지 않습니다.)

> 전용백신 다운로드



※ V.WOM.NateOn.331776 전용 백신을 실행하여 "검사" 버튼으로 검사를 진행한 후 마지막으로 "치료" 버튼을 누릅니다.

해당 악성코드의 변종 발생 가능성이 높으므로, 전용백신으로 치료해도 같은 증상이 반복해서 나타나는 경우 다음과 같이 진행해 보십시오.

알약을 설치할 때 설치경로 다음과 같이 변경하여 설치합니다.
( C:\Program Files\ESTsoft\ALYac1 )

알약 실행한 후 정밀검사를 눌러 검사 및 치료합니다.
이후 알약을 제거한 후 기본 경로에 다시 설치되는지 확인해 보십시오.

만약 위와 같이 시도해도 증상이 해결되지 않는 경우는
알약의 신고하기 메뉴를 통해 혹은 알약 고객센터로 제보
부탁드립니다. 신속히 확인/처리하겠습니다.


[예방 방법]

1) 모르는 사람이 보내는 URL링크는 물론 아는 사람이 보낸 URL링크에 대해서라도 클릭하는 것을 주의해야 합니다.
2) 알약을 최신DB로 업데이트로 항상 유지해야 합니다.
3) 알약의 실시간감시를 항상 활성화시켜야 합니다.
4) 아는 사람의 계정으로 악성코드 링크가 포함된 쪽지가 오는 경우, 해당 사용자에게 계정도용 가능성을 경고하고 계정의 비밀번호를 변경하도록 조치해야 합니다.
목록