2000년 5월 4일 처음 발견되었으며 국내에서도 같은 날 발견되었다. ‘ILOVEYOU’라는 제목의 인터넷 메일로 발송되는데, ‘kindly check the attached LOVELETTER coming from me.’라는 내용과 함께 첨부 파일 LOVE-LETTER-FOR-YOU.TXT.vbs이 들어있다. 이 파일을 열면 바이러스에 감염되므로 열지 말고 바로 삭제해야 한다.
아웃룩이나 아웃룩 익스프레스를 사용할 경우 대량의 메일 트래픽으로 인해 메일 서버가 다운되는데, 메일 서버와 파일 서버, 웹 서버 등을 구분하지 않는 환경에서는 전체 네트워크가 마비되는 상황이 벌어진다.
파일의 확장자가 VBS, VBE인 경우 바이러스가 겹쳐쓰기되며 JS, JSE, CSS, WSH, SCT, HTA의 경우 바이러스로 겹쳐쓰기되고 확장자가 VBS로 바뀐다. 또한 JPG, JPEG 파일은 바이러스가 겹쳐쓰기되고 VBS 확장자가 추가된다. 그러나 MP3, MP2 파일은 숨김속성으로 변경되고 동일한 이름의 바이러스 파일을 생성한다.
VBS(Visual Basic Script)로 작성되었으며 파일이 실행되면 윈도우 시스템 폴더(c:windo-wssystem)에 MSKernel32.vbs와 LOVE-LETTER-FOR-YOU.TXT를 복사하고 윈도우 폴더(c:windows)에 Win32DLL.vbs 등의 파일을 만든다.
Dropper/HotKeysHook
한국산 트로이목마로 2000년 5월 스타크래프트의 맵핵 방지용 프로그램으로 위장해 올려졌다.
파일을 실행하면 Windows 폴더에 TEMP#01.EXE,TEMP$01.EXE, SCANREG-W.EXE 파일을 만든다. 이후 재부팅하면 SCANREGW.EXE 파일이 자동실행되면서 이들 파일의 내용도 바뀌게 된다. TEMP#01.EXE는 다음 번 부팅 때Win-Troj-an/HotKeysHook으로 바뀌며 이 파일은 키보드 작동을 가로채고 있어 상대방이 어떤 작업을 하는지 알 수 있게 된다.
이 파일이 실행될 때 “H@tkeysh@@k.dll” 파일을 Windows 시스템 폴더에 만든다. TEMP$01.EXE은 정상적인 SCANREGW.EXE 파일로 이는 부팅시 자동 실행되므로 다음번 부팅때부터 항상 실행된다. 이 파일은 부팅때 마다 TEMP#01.EXE 파일의 존재 여부를 살펴 없으면 다시 만든다.
만약 사용자가 TEMP#01.EXE 파일을 수상히 여겨 삭제하더라도 부팅될 때 다시 TEM-P#01.EXE 파일이 만들어지므로 복구하기 어렵다.
‘시스템정보’로 실행중인 작업을 보면 “Temp#01.exe” 파일이 실행중인 것을 알 수 있다.
WIN95/CIH
1998년 6월 대만에서 최초로 발견된 외국산 바이러스로 바이러스 제작자가 인터넷을 통해 바이러스를 퍼트린 것으로 추정되고 있다.
이 바이러스는 일부 셰어웨어 프로그램에 감염된 채 전세계로 확산되었으며, 한국에서도 비슷한 시기에 MoviePlay 1.46 버전에 감염된 채 대형 통신망 공개 자료실 등에 등록되어 많은 피해가 발생했다.
바이러스에 감염된 파일이 실행되면 기억장소에 상주한 후 오픈되는 PE(Portable Exe-cutable)파일을 감염시키는데 기억장소 상주 방법과 감염 방법 모두 새로운 방법을 사용한다.
기존의 윈도우용 바이러스들은 주로 VxD를 사용해서 재부팅한 후 바이러스가 상주하지만 이 바이러스는 외부에 알려지지 않은 방법을 사용했다. 또한 파일 감염 방법 역시 기존 방법과 달리 파일에서 빈영역을 찾아 겹쳐쓰는 방법을 사용했다. 따라서 감염된 파일 크기의 변화는 없다.
윈도우 95와 98에서는 메모리에 상주한 후 감염 활동을 할 수 있지만 윈도우 NT에서는 작동하지 않는다.
감염 후 특징적인 증상은 매년 4월 26일 플래시 메모리의 내용과 모든 하드 디스크의 데이터를 파괴해 버린다는 것이다.
저작권자 © 포항공대신문 무단전재 및 재배포 금지
