PC 세이퍼 - 바이러스와 악성코드를 한번에 퇴치!

PC세이퍼 빠른 메뉴

PC세이퍼 메뉴 안내

PC세이퍼 홈

로그인 (유료사용자)

프로그램 소개

프로그램 가이드

- 구매방법

- 상품권결제

- 자동결제 취소

- 검사ㆍ치료방법

- 환경설정

- 파일복원

- 보안칼럼

- 공지사항

- 1:1상담

[리스트로]

바이러스 이름	W32/Klez.H@mm	바이러스 종류	Worm
실행 환경	Win9x, Win2000, NT, XP	제작지
발견일	20020417	바이러스크기	일정치 않음
메일 제목	일정치 않음
첨부파일	exe, pif, eml, bat등
바이러스 증상
인터넷 익스플로러의 보안패치가 되지 않는 경우 아웃 룩의 미리 보기만으로 첨부 파일이 실행 되어 바이러 스에 감염된다. 일단 감염이 되면 네트워크상의 읽기, 쓰기가 가능한 공유드라이브나 폴더에 자신을 복사하고, 자체메일 발 송기능을 통하여 windows의 주소록 을 뒤져 감염된 메일을 보내게 된다. 그런다음 윈도우의 시스템 폴더에 WINKxxx.EXE형식의 파일과xxx(임의의 숫자1개-3개).exe(예 : khi70.exe) 로 임의로 조합된 파일을 생성한다. 이 파일은 터보백신에서 Trojan-W32/Elkern.10240로 진단한다. 부팅시 자신을 실행하기 위해 다음과 같이 레지스트리 를 수정한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ run Winkxxx(이름) = WINKxxx.EXE(데이타) (xxx 랜덤 한 2~3자리 영문자) 메일로 발송 될 경우 메일 제목은 일정치 않으나 대 체로 Undeliverable mail --(임의문자), Returned mail--(임의문자) 등의 이름으로 배달되기도 한다. 웜이 실행되면 대부분의 외산 백신의 프로세스를 감지 하여 강제 종료 시키는데 국내 백신또한 바이러스 검사시 웜에 의해 강제 종료 당하는 현상이 발생 하였다. 현재 이와 같은 상황은 생성된 Winkxxx.exe가 아래의 목록과 같이 주요 백신의 프로세스 문자열을 인식하 여 해당 프로세스를 강제 종료 시키며 파일 자체를 삭제 하는 기능을 포함하고 있기 때문이 다. _AVP32_AVPCC NOD32 NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32 NAVRUNR NAVW32 _AVPM ALERTSVC AMON AVP32 AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95 ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98 AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95 CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton Mcafee Antivir TASKMGR 또한 이 바이러스는 정상 파일에 감염이 이루어지면 (원래파일이름).xxx로 정상 실행파일의 확장자를 랜덤하게 변경하여 숨김속성으로 보관한다. 다음으로 (원래파일이름).exe의 가짜 실행 파일을 만 들어 놓은 다음 해당 프로그램 실행시 (원래파일이 름).xxx를 참조하여 (원래 파일이름)xxx.exe를 만들어 서 파일을 실행 하게 된다. 그러므로 정상파일이 감염되어 (원래파일이름).xxx를 삭제 하면 프로그램이 실행 되지 않는 현상이 발생 하 므로 반드시 터보 백신을 통하여 원래의 파일로 복구 해야 한다.
치료 방법	최신 업데이트가 되지 않은 터보백신 2001이나 터보백 신 Ai로 바이러스 진단시 W32/Klez.H@mm 에 의해 백신 진단이 불가능 해 질 수 있다. 이럴 경우에는 먼저 홈페이지에 접속하여 터보백신 Online으로 진단 치료를 선행 한 후에 터보백신 2001과 터보백신 Ai를 재 설치 해야 한다.
직접치료방법