적을 아는 것이 최상의 방어이다. 시만텍 안티바이러스 연구소는 자사의 웹사이트에 Y2K 센터(http://www.symantec.com/avcenter/y2k/)를 설치하고 새 천년으로 전환되는 시점에서 컴퓨터 사용자를 노리는 악의적인 프로그램(바이러스, 웜, 트로이목마등)에 대한 정보를 제공하고 있다.
1. Y2K 바이러스란 무엇인가?
시만텍 안티바이러스 연구소에서는 다음의 특징 중 한가지 이상을 가지고 있는 바이러스를 Y2K바이러스로 정의하고 있다.
.2000년 1월1일 당일 또는 그 즈음에 활동을 시작한다.
.Y2K에 대한 메시지를 보여준다.
.Y2K 문제를 시연하기 위해 날짜/ 시간 등록 정보를 수정한다.
.Y2K 문제를 시연하기 위해 데이터나 프로그램을 수정한다.
.Y2K를 위한 패치 파일 또는 수정 프로그램, 업데이트 파일로 가장한다.
2. Y2K 바이러스에는 어떤 종류가 있나?
Y2K 바이러스는 크게 컴퓨터 사용자에게 실질적인 피해를 입히는 바이러스(웜, 트로이 목마)와 바이러스를 가장한 가짜 바이러스(바이러스 혹스: Virus Hoax) 두 가지로 분류된다.
1) 악의적인 Y2K관련 바이러스에는 다음과 같은 종류가 있다.
.폴리 글롯 트로이 목마 ( Troj.Polyglot (a.k.a. Y2K Count))
- 1999년 9월 15일에 발견된 폴리 글롯은 사용자의 패스워드나 ID등 개인 비밀 정보를 훔치는 트로이 목마로서 Y2KCOUNT.EXE란 이름의 이메일 첨부 파일로 전파됩니다. "모든 마이크로소프트 사용자에게, 우리는 마이크로소프트 2000년 카운터를 발표하게 되어 매우 기쁘다"로 시작되는 내용을 가진 이 트로이 목마의 가장 큰 특징은 마이크로소프트의 고객 지원 사업부에서 보내어진 것처럼 가장하여 컴퓨터 사용자들을 속인다는 것입니다. 그러나, 마이크로소프트는 이 프로그램과 전혀 관계가 없으므로 사용자들은 이에 현혹되지 않아야 한다.
.웜 픽스2001 ( Worm.Fix2001)
- 1999년 9월 14일에 발견된 픽스 2001은 인터넷 웜으로서 픽스2001.exe라고 명명된 첨부 파일을 통해 이메일로 전송된다.
이메일 제목은 "2000년도 인터넷 문제(Internet problem year 2000)"이며 "관리자 (Administrator)"라는 사람에 의해 보내진다. 이 이메일은 "인터넷 접속과 관련된 문제를 피하기 위해 2000년이 되기 전에 당신의 OS를 점검하시기 바랍니다.
당신이 윈도우 95/98 사용자라면 여기 첨부된 픽스 2001 애플리케이션을 통해 당신의 시스템을 검사해 볼 수 있습니다" 라는 내용으로 컴퓨터 사용자를 현혹시킨다. 이 바이러스가 실행되면 파일을 변경하고 하드디스크의 데이터를 파괴한다.
.챈탈 ( W97M.Chantal.A)
- 챈탈 바이러스는 DOS 배치 파일 스크립팅(BAT)과 애플리케이션용 비주얼 베이직(VBA), 비주얼 베이직 스크립팅(VBS)을 이용하는 독특한 바이러스로서 1999년 10월 7일에 발견되었다.
이 바이러스는 MS 워드 문서를 감염시키며 2000년 1월 1일이 되면 바이러스에 감염된 문서가 들어있는 디렉토리를 비롯하여 C 드라이브에 있는 모든 파일을 삭제한다.
.MMKV (W97M.MMKV)
- 1999년 10월 7일에 발견된 MMKV 바이러스는 MS 워드 문서를 감염시키는 매크로 바이러스로서 3가지 변종을 가지고 있다. 이 바이러스는 시스템 날짜가 2000년이 되면 감염된 파일이 저장되어 있는 디렉토리와 C 드라이브에 있는 모든 문서를 삭제하는 피해를 줄 수 있다.
2) Y2K 관련 가짜 바이러스(Virus hoax)에는 다음과 같은 종류가 있다.1998년 12월에 처음으로 모습을 드러낸 가짜 바이러스는 점점 흔해지고 있다.
가짜 바이러스는 흔히 새로운 바이러스를 경고하는 이메일의 형태를 띄고 있지만 실제로 여기서 경고하는 바이러스는 존재하지 않는다. 이런 이메일은 사람들에게 혼란만 야기할 뿐이므로 시만텍 웹사이트에 있는 가짜 바이러스의 리스트와 비교해 본 후 가짜 바이러스로 판별되면 다른 사람에게 전달하지 말고 무시하는 것이 좋다.
.Y2K 픽스(FIX).EXE 바이러스 (AOL Year 2000 Update)
- 이 가짜 바이러스는 "아메리카 온라인 2000년 업데이트라는 메일을 받으면 거기에 첨부된 Y2K픽스.EXE 파일을 절대 다운로드 받아서는 안된다. 이것은 바이러스입니다"라는 내용으로 컴퓨터 사용자들을 현혹시킨다. Y2K 픽스라는 바이러스는 존재하지 않으므로 이런 이메일을 받게 되면 다른 사람에게 재전송하지말고 무시하는 것이 좋다.
.사우스 파크 뉴스레터 (South Park News Letter)
- 이 가짜 바이러스는 2000년 1월1일이 되면 사우스 파크 뉴스 레터라고 명명된 이메일을 받을 것이며 이는 윈도우 시스템 파일을 지우는 바이러스이므로 절대 열어서는 안된다고 경고하고 있습니다. 그러나, 실제 사우스 파크 뉴스레터라는 바이러스는 존재하지 않는다.
.1월1일 윈도우 가동 불가 바이러스 (Windows will Fail on Jan. 1)
- 이 가짜 바이러스는 "당신이 지금 수정하지 않으면 모든 윈도우 카피는 1월 1일에 다운 됩니다. 수정하기 위해서는…"과 같은 경고 메시지와 함께 수정 방법에 대한 설명을 담고 있다.
.Jan 1st20.exe 바이러스
- 이 가짜 바이러스 경고 메일은 장난 프로그램을 첨부하고 있다. 이 프로그램을 실행시키면 컴퓨터 스크린의 이미지가 위아래 거꾸로 뒤집혀 나타나게 된다. 이 첨부 파일은 JAN1ST20.EXE라고 불리는 것으로 바이러스가 아니지만 이메일은 Year 2000 바이러스에 감염되었다고 말하고 있다.
3. Y2K 바이러스에 어떻게 대비해야 하는가?
다음은 시만텍 안티바이러스 연구소에서 제안하는 Y2K 바이러스에 대한 대비 지침이다.
개인 PC 사용자일 경우
① 사용중인 바이러스 백신이 Y2K 인증을 받은 제품인지 확인한다.
② 바이러스 백신 업데이트를 자주 하여 최신 바이러스 백신 파일을 보유하도록 한다.
③ 자동 보호 기능을 실행시켜 언제 나타날지 모르는 바이러스에 대해 대비한다.
④ 파일이 첨부된 이메일을 받았을때 첨부파일의 원래 소스를 아는지 생각한다. 친구가 보냈다고 해서 안전하다고 믿어서는 안되며 첨부파일의 종류가 프로그램인지 문서인지 파악할 수 없다면 절대 첨부 문서를 열어보아서는 안된다.
⑤ 파일이 첨부된 이메일을 받았을 때 그 첨부 파일의 목적이 무엇인지를 생각해야 한다. 안전한 컴퓨팅 환경을 유지하고 싶다면 ''믹서기 안의 물고기(Fish in a blender)''같은 프로그램을 실행시켜서는 안된다.
만약 친구로부터 이메일을 받았다면 그 파일을 일부러 보낸 것인지 확인하기 전까지는 절대 열어보아서는 안된다. 멜리사 같은 컴퓨터 웜은 믿을 만한 이메일 계좌 이름으로 보내진다. 그저 누가 보냈는지를 아는 것만으로는 이것이 일부러 보내진 것인지 아니면 바이러스에 의해 상대편이 모르게 보내진 것인지 확인할 수 없다.
⑥ 가짜 바이러스 이메일에 속지 않는다. 매년 수천개의 바이러스가 발견되지만 그 중에는 대중의, 또는 언론의 상상에서만 존재하며 실제 존재하지 않는 것들이 있다. 이런 것은 가짜 바이러스라고 불리우며 이것은 종종 컴퓨터 사용자들을 겁주기 위해 보내진다. 이 가짜 바이러스들은 종종 엄청난 피해를 입히는 바이러스에 대한 경고 메시지 형식을 띄고 있다.
가짜 바이러스의 주요 특징은:
.어떤 바이러스나 웜의 파괴적인 성향에 대해 과장되게 표현한다. (예: "이것은 당신의 모니터를 파괴할 것이다.")
바이러스 위협에 대해 다른 사람에게 이메일을 보내 알려 줄 것을 권유한다.
"당신은 이 이메일을 열었으므로 바이러스에 감염될 것이다."라고 주장한다. 그러나, 사실은 단순히 이메일을 열어보는 것만으로는 바이러스에 감염되지 않는다.
컴퓨터에 대해 시스템 관리자의 개입없이 이러 이러하게 수정하라고 가이드를 준다. 예를 들어, "Y2K로부터 당신의 컴퓨터를 보호하기 위해서는 윈도우 디렉토리 에서 WSOCK32.DLL을 삭제하시오."
바이러스 백신 업체나 MS처럼 큰 소프트웨어 업체로부터 온 바이러스 경고라고 주장한다. 이런 업체들은 바이러스와 같은 위협에 대해 일반 사용자 개개인에게 이메일을 보내지 않는다. 그런 이메일은 가짜 바이러스로 간주되어야 한다.
눈에 띄는 오자나 탈자가 메시지에 포함되어 있다.
이런 특성을 가진 메시지를 받게 되면 바이러스 백신 업체의 웹 페이지를 방문하여 가짜 바이러스인지를 확인하고 무시하면 된다.
⑦IRC나 인터넷 채팅 소프트웨어를 최신 버전으로 업데이트한다. 요즈음 나오는 소프트웨어의 최신 버전들은 대부분 최신 보안 기능을 갖추고 있다. 그러나, 소프트웨어 업데이트는 컴퓨터 오작동을 야기할 수도 있다. 만약, 사용중인 소프트웨어를 Y2K 즈음에 업데이트 한다면 컴퓨터가 오작동 할 가능성이 있으므로 확인절차 없이 Y2K 바이러스에 감염되었다
고 가정하지 않아야 한다.
⑧ 뉴스그룹이나 메일 리스트를 조심한다. 절대 인터넷 뉴스 그룹에 올려진 파일이나 메일링 리스트를 다운 받거나 열어보지 말아야 한다.
⑨항상 정보에 귀를 기울인다. 시만텍 안티바이러스 연구소등 관련 웹사이트를 자주 방문하여 최신 바이러스나 웜, 트로이 목마, 가짜 바이러스에 대한 정보를 얻는 것이 좋다.
