연희동성당 게시판

[바이러스 정보(증상 및 원인)]

Win32/Nimda.worm은 2001년 9월 18일 처음발견 되었으며 같은 날 저녁 국내에서도 발견되었다. 모든 윈도우 OS 가 감염대상이 되며 메일로 전파된다.  

메일에 첨부되는 파일명은 Readme.exe (57,344 바이트) 이며 그 제목은 다양한데 감염된 사용자 PC의 파일명에서 얻어오며 웜을 전파시키기 위해 인터넷 임시 폴더내 HTM, HTML 파일을 뒤져 주소을 얻어온다.  

메일에 첨부된 Readme.exe 파일을 실행하거나 메일을 읽어 보아도 (미리 보기 하여도) 이 웜에 감염될 수 있다. 또한 감염된 시스템의 모든 로컬 드라이브 (CD-ROM 드라이브 포함)가 공유되므로 보안상 문제가 될 수 있다.  

윈도우 NT/2000 경우에는 IIS 취약점을 이용하기도 하며 모든 드라이브 루트에 Admin.dll (57,344 바이트) 파일을 생성해 놓는다.  

* 이 정보는 2001년 9월 18일 10시 30분에 작성된 정보이며 이후 수정되고 업데이트될 예정이다.  

[바이러스의 치료방법]

* Win32/Nimda.worm을 수동치료하는 방법은 다음과 같습니다.  

▶윈도우 95/98/ME 계열  

C:\Windows\System 폴더에 load.exe(57,344바이트) 파일이 존재하는지 확인하십시오.  

1. 존재하지 않을 경우  

(1) 공유되어 있는 폴더를 해제합니다.  

(2) 시스템에 *.eml 파일들이 있는지 확인하여 삭제하십시오.  

(3) 시스템에 *.nws 파일들이 있는지 확인하여 삭제하십시오.  

2. 존재하는 경우  

(1) 공유되어 있는 폴더를 해제합니다.  

(2) 윈도우 [시작]-[실행]에서 ’system.ini’를 입력합니다.  

(3) system.ini의 내용 중 ’Shell = explorer.exe load.exe -dontrunold’로 되어 있는 부분을 ’Shell = explorer.exe’로 수정합니다.  

(4) 시스템을 재부팅합니다.  

(5) C:\Windows\System 폴더에 있는 load.exe(57,344바이트) 파일을 삭제합니다.  

(6) C:\Windows\System 폴더에 있는 riched20.dll(57,344바이트, 숨김속성) 파일을 삭제합니다.  

    - 정상적인 riched20.dll 파일이 존재할 수 있으므로 반드시 파일크기를 확인한 후 삭제하시기 바랍니다.  

(7) 시스템에 *.eml 파일들이 있는지 확인하여 삭제하십시오.  

(8) 시스템에 *.nws 파일들이 있는지 확인하여 삭제하십시오.  

* 공유폴더를 설정해 놓을 경우 네트워크를 통해 재감염이 될 수 있으므로, 반드시 해제하고 사용하시기 바랍니다.