Win32/Parite.x 웜바이러스 대처방법

antiparite-en.exe

오늘은 일명 파리떼 라는 웜바이러스에 대해 알아보고 대처 및 치료 방법에 대해

알아보려 합니다 ^^

바이러스 이름을 보니 파리떼.......... 참 작명센스가 ㅡ,.ㅡ

한국인이 만든건가 ㅋㅋㅋㅋㅋㅋㅋ

이 바이러스는 증식속도가 매우 빠르다는점에 포인트를 맞추고 보셔야 치료방법도 빠르게 보입니다

일반적인 백신은 약 30~50초 간격으로 바이러스 침투여부 및 감염상태를 확인합니다

이는 실시간감시를 활성화해두셨을경우에 한해서입니다

그런데 이 웜바이러스는 정확하진 않지만 약 20여초만에 수십개의 파일에 증식되버리기때문에

잡는데 한계가 있습니다


>> 감염경로

뻔한 예기가 될수도 있습니다만
가장 빈번한것이 공유사이트에서 흘러오는경우입니다
그렇다고 공유사이트를 아주 안쓸수도 없는 노릇이고 답답하죠

그래서 다음과 같이 하셔야됩니다

우선 다운로드 받은 파일에 대해서는 실행하기 전에 백신을 통해서
감염여부를 확인하셔야됩니다
보통의 백신들은 압축파일도 검사할수 있도록 옵션이 존재하니 필이 체크하여 검사토록 합니다

그렇다면 ISO등과 같은 이미지파일은 어떻게 해야될까요?

일단 ISO안에 자동실행(Autorun) 관련이 있다면 다음과 같은 작업을 한뒤에 합니다
시작->실행->gpedit.msc 실행후 컴퓨터구성->관리템플릿->시스템 으로 이동후 자동실행 사용안함 에서 사용안함으로 맞춰주신후 데몬이나 시디스페이스등 자신이 사용하는 프로그램으로 ISO를 삽입하고

백신으로 바이러스 여부를 검사한뒤에 사용하시는것을 권장합니다만

솔직히 많이 귀찮고 매번 이래야 한다는 부담감도 많죠

안전하다고 생각되는거에 한해서만 그냥 사용하셔도 뭐.........

논제를 벗어난 이야기이므로 다시 본론으로 와서

공유사이트를 제외하고는 무분별하게 포털사이트나 블로그등지에서 다운받는 행위에서도 많이
옮겨옵니다.

반드시 안전한가 검사후에 사용토록 합시다.


>> 감염후 증상

Win32/Parite.B 바이러스는 W32/Parite.A, W32/Pate.a, Win32.Parite.A, Trojan.Parite.A, Win32/Parite.A.packed, PE_PARITE.C, W32/Parite-A, Win32/Pinfi.B 등으로 불리는 바이러스로 2001년 10월에 처음 보고된 것으로 보인다. 국내에는 2002년 8월13일에 감염 보고되었으나, 그 이전에 이미 국내에 유입된 것으로 보인다. 이 바이러스는 Win32/Tinit 와 매우 유사하다.

실행파일 감염방법

감염된 파일이 실행되면 (PE 형식의) 윈도우 실행 파일 *.scr, *.exe 을 찾아 감염시킨다. 단, 윈도우 폴더에 존재하는 Explorer.exe 파일은 감염되지 않는다. 감염파일은 마지막 섹션에 3글자의 영문으로 된 랜덤한 섹션 이름이 추가되며 수백 KB 이상 파일이 늘어난다.

또한 윈도우 임시폴더에 실행파일 압축 프로그램으로 압축된 *.TMP (*. 랜덤한 이름) 파일을 생성(실제는 DLL 형식)해두고 실행중인 EXPLORER 에 모듈로 붙어 바이러스가 계속 실행된다. 이 모듈은 실행되기 위해다음과 같은 레지스트리 값을 생성한다.

HKEY_CURRENT_USER\
   Software\
      Microsoft\
         Windows\
            CurrentVersion\
               Explorer\
                  PINF = \윈도우 임시폴더\랜덤한 파일명.tmp -> 생성한다.

또한 치료전 반드시 모든 파일을 검사하도록 지정해야한다.

네트워크 전파, 감염방법

바이러스는 네트워크 환경내에서도 스스로 감염대상을 찾는데 읽기/쓰기 공유된 폴더나 드라이브의 *.exe, *.scr 파일을 찾아 감염시킨다. 감염된 시스템은 30167 의 로컬 포트를 오픈 해둔다.


치료한후 확인을 하고자 한다면 시작->실행->cmd 를 입력후 실행한뒤
netstat -an (윈도우XP 기준입니다) 이라고 명령을 내리면
현재 로컬에 열려있는 포트번호가 출력이 됩니다

위 포트번호가 있는지 확인하고 있다면 다시 치료를 해야됩니다



>> 치료방법

V3 나 알약으로 치료를 하고자 한다면 우선 랜선(인터넷선)을 뽑은후 시스템을 재부팅합니다
부팅로고뜨기전 F8을 열심히 눌러 메뉴를 띄운후 안전모드로 부팅합니다

부팅이 완료되면 백신을 실행한뒤 정밀검사를 실시합니다
정밀검사시 옵션은 반드시 압축파일검사 및 모든파일 검사로 지정하여 합니다
검사시간이 오래 걸릴수 있겠으나 참으며 치료합니다

생각하기에 그리 심하게 감염된상태가 아닌거 같다 또는 방금 감염된것을 감지 하였다
라고 생각될경우 첨부해놓은 안티파리떼 파일을 받아서

실행하여 검사 및 치료를 합니다

Scan 버튼을 눌러주면 검사 와 치료가 동시에 실시 됩니다

시스템에 존재하는 파일양에 따라 시간이 다소 오래 걸릴수 있습니다.

완료가 되면 시스템을 한번 재부팅해준뒤 한번더 검사 및 치료를 실시해주시면 됩니다

그 이유는 검사하는동안 안티파리떼 백신 실행파일에도 감염이 일어났을 가능성이 있기 때문입니다



>> 치료 후기

딱히 이 바이러스에 걸려서 크게 피해를 본 상황은 아니었습니다
걸리면서 바로 실시간감시중이던 백신에 검출이 되었기때문에 인지가 빨리 되었으며
두어번 치료에도 불구하고 계속 감염되는것을 인지하였기때문에 치료방법도
다소 빠르게 찾을수 있었습니다

이 바이러스로 인한 가장 큰 문제는 역시나 파일들이 감염되면서 용량이 늘어나기때문에
하드디스크 용량이 감소한다는데 있으며 감염되면서 PC가 느려지는 현상이 나타나는 문제가 있었다는것 외에는 특별히 없습니다

초기인지와 빠른치료가 역시나 PC한테도 큰 문제를 일으키지 않는 예방책이 됩니다 ㅎㅎ

가장 중요한것은 어느 백신을 사용하든 상관없이 실시간 감시를 켜두는것이 얼마나 큰 도움이 되는가
입니다.
반드시 실시간감시를 켜두어 빠른 감지와 치료에 도움을 받길 바랍니다
꼭 필요한 상황이 아니라면 실시간감시는 반드시 켜두십시요


오늘까지 두가지의 짜증나고 치료하기 쉽지 않은 바이러스를 포스팅 했는데요
이러한 바이러스에 감염되지 않기 위해서는 무분별한 다운로드와 실행 그리고
무분별한 공유사이트 이용을 최소화 하시는것만으로도 상당히 예방이 된다는것입니다

잘 알려지지 않은 사이트를 방문하고자 할때는 사전에 해당 사이트에 대한 정보를
충분히 검색하여 정보를 확인하고 안전하다고 판단될때에만 방문하여 이용하길 바랍니다

구글에서는 방문하고자 하는 사이트에 대해 안전한가를 검사하는 기능이 있는걸로 알고 있습니다

여러분의 PC도 안전이 가득하길 기원해봅니다~