2090년 바이러스(Win32:PureMorph [Cryp]) 해결 방법 안내

2009.02.11 10:39Avast기술정보

2월 첫 주말부터 일명 "2090년 바이러스"라고 하는 신종 악성 코드가 전파되고 있습니다. 2090년 바이러스라고 붙여진 이유는 바로 시스템 날짜를 2090년으로 변경하는 것에 유래한 것입니다. 어베스트!는 이 바이러스를 PureMorph [Cryp]으로 진단하고 있으며, 다양한 변종이 출현하고 있어 사용자의 주의가 필요합니다. 그리고, 이 바이러스의 전체적인 특징과 미연에 방지할 수 있는 방법, 바이러스를 치료한 후에 발생할 수 있는 문제점을 해결하는 방법을 소개합니다.

 

바이러스가 전파되는 가장 주요 원인은 윈도우 업데이트를 충실하게 하지 못하는 경우에 발생합니다. MS08-067 취약점을 이용하고 있으므로 이에 대한 패치를 반드시 해주어야 합니다.

윈도우 업데이트: http://windowsupdate.microsoft.com/

MS08-067 업데이트: http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx

윈도우가 정품이 아닌 경우에는 아래 링크에서 자동 업데이트 프로그램을 다운로드하여 설치하시면 설치하지 못했던 업데이트를 설치할 수 있으며, 앞으로 발표되는 업데이트에도 효과적으로 사용하실 수 있습니다.

http://www.boho.or.kr/pccheck/pcch_05_01.jsp?page_id=5

 

바이러스가 전파되는 경로는 네트워크 드라이브나 USB 메모리와 같은 이동형 매체입니다. 가정에서 사용하시는 분들은 네트워크 드라이브에 거의 영향을 않으므로 이동형 매체의 오토런(AUTO-RUN) 기능을 꺼 주는 것이 가장 효과적입니다.

국가정보원 USB 자동실행 방지 프로그램: http://www.avast.co.kr/406 (원본이 삭제되었음)

Flash Drive Disinfector: http://moonslab.com/658

 

컴퓨터에 이미 2090년 바이러스가 감염된 경우에는 어베스트!를 설치하고 검사하여 치료하게 되면 컴퓨터가 정상적으로 부팅되지 않는 경우가 있습니다. 이는 바이러스가 감염하는 동안에 윈도우의 로그인 프로세스(userinit.exe)의 경로를 변경하기 때문입니다.

이러한 경우에는 다음과 같은 방법을 사용하여 수동으로 복구해야 합니다.

수동으로 복구하기 위해서는 다음과 같이 두 가지를 준비해야 합니다.

  • userinit.exe - 감염되지 않은 다른 PC에서 해당 파일을 복사하여 준비합니다. 동일한 운영체제의 파일을 준비해야 합니다. 파일은 플로피 디스켓, CD, USB 메모리 등에 복사해 둡니다.
  • 어베스트! BartCD v3 - 윈도우 비스타 PE로 개발되어 있는 avast! 전용 부팅 시디입니다. 이 프로그램은 유상으로 판매되고 있습니다.

 

1. 어베스트! BartCD를 CD-ROM 드라이브에 넣고 부팅합니다.

2. 키보드를 선택합니다. 단순한 파일 복사 작업이므로 United States로 두셔도 무방합니다. OK 버튼을 클릭합니다.

3. 어베스트! BartCD에 비밀번호가 걸려 있는 경우에는 아래 화면이 나타납니다. 없는 경우에는 나타나지 않습니다. 비밀번호를 입력하고 OK 버튼을 클릭합니다.

4. avast! Bootable Antivirus & Recovery Tools CD 대화상자에서 하단 부분에 있는 Altap Salamander를 클릭하고 오른쪽 부분에서 Run Now 버튼을 클릭합니다. 이 프로그램은 윈도우 탐색기와 유사한 기능을 제공하는 프로그램입니다.

5. 탐색기 창을 열고 준비한 파일이 있는 드라이브로 이동합니다. 그리고 한 편에는 아래 화면과 같이 Windows\System32 폴더로 이동하여 userinit.exe 파일을 복사합니다.

6. Altap Salamander 프로그램을 종료합니다.

7. avast! Bootable Antivirus & Recovery Tools CD 대화상자에서 중간 부분에 있는 Registr Editor를 클릭하고 오른쪽 부분에서 Run Now 버튼을 클릭합니다. 이 프로그램은 윈도우 레지스트리 탐색기(regedit.exe)와 유사한 기능을 제공하는 프로그램입니다.

8. Select file with registry 대화상자가 나타납니다. 컴퓨터에 여러 개의 운영체제를 설치한 경우에는 해당 파티션을 선택할 수 있습니다. 일반적으로 하나만 설치하므로 Load Selected OS registry 버튼을 클릭합니다.(Backup registry files that will be loaded by this application 이 체크되어 있으면 프로그램이 레지스트리를 로드하기 전에 백업합니다. 제대로 백업되지 않으면 경고 창이 나타날 수 있습니다)

9. Selected operating system\LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 으로 이동합니다. 그리고 오른쪽 화면에서 Userinit의 값을 C:\WINDOWS\system32\userinit.exe, 로 변경합니다. 변경 후에는 창을 닫습니다.

10. 마지막으로 avast! Bootable Antivirus & Recovery Tools CD 대화상자 하단 부분에 있는 Exit 버튼을 눌러 모든 작업을 종료합니다. 확인 창에서 Yes를 누르면 컴퓨터를 다시 시작합니다. CD-ROM에 들어 있던 어베스트! BartCD를 꺼냅니다.

감사합니다.