첨부화일을 실행시키지 않고 e-메일을 열어보기만 해도 감염되는 '로미오와 줄리엣'의 변종 바이러스가 국내에 유입돼 빠른 속도로 번지고 있다.
안철수연구소는 '로미오와 줄리엣'으로 알려진 웜 블리블라(BleBla)
바이러스의 변종 블리블라.B(I-Worm/BleBla.B)
가 1일 오후 발견된 이후 3시간만에 30여건의 피해신고가 접수됐다고 밝혔다.
폴란드에서 처음 번지기 시작한 것으로 알려진 '로미오와 줄리엣' 바이러스는 마이크로소프트사의 아웃룩익스프레스 프로그램에서 메일을 열면 자동으로 감염되는 특징때문에 지난달 유럽과 미국을 중심으로 빠르게 확산됐다.
국내에 유입된 블리블라.B는 이런 '로미오와 줄리엣' 바이러스의 변종으로 'Romeo&Juliet', 'Where is my juliet ?' 등의 제목에 'XROMEO.EXE' 등의 첨부화일과 함께 전파된다.
이 바이러스에 감염되면 감염된 컴퓨터의 아웃룩익스프레스의 주소록을 읽어 메일을 자동으로 발송한다.
안철수연구소측은 '로미오와 줄리엣'은 시스템에 특별한 손상을 입히진 않지만 무작위로 메일을 뿌려 서버속도를 저하시킬 수 있고 발신인의 신용과 명예에 큰 피해를 입힐 수 있으므로 사용자의 각별한 주의가 요구된다고 밝혔다.
Joins 손창원 기자 <pendori@joins.com>
◇ 다음은 안철수연구소측이 제공한 '로미오와 줄리엣' 변종 바이러스의 특징
<메일 제목>
* Romeo&Juliet
* Where is my juliet ?
* Where is my romeo ?
* hi
* last wish ???
* lol :)
* ,,...
* newborn
* merry christmas!
* surprise !
* Caution: NEW VIRUS !
* scandal !
* ^_^
<첨부 파일>
XROMEO.EXE
XJULIET.CHM
<예방법>
메일 제목에 유의해 메일을 삭제한다.
<퇴치법>
웜만 삭제할 경우 프로그램이 정상 실행되지 않기 때문에 레지스트리를 변경해야 한다. 웜에 감염된 상태에서는 레지스트리 편집기(REGEDIT.EXE)
가 실행되지 않으므로 수동으로 조치하기 어렵다. 전용 백신 V3로 치료하는 것이 안전하다.
<증상>
MS 아욱룩, 아웃룩 익스프레스 주소록을 읽어 메일을 자동 발송하며 시스템에 이상을 주지는 않는다.
<특징>
VBS/BubbleBoy에서 최초로 사용한 "scriptlet.typelib/Eyedog" 보안 취약성을 이용한 웜으로, 보안 패치되지 않은 '아웃룩'이나 '아웃룩 익스프레스'를 사용할 경우 메일을 읽는 것만으로 감염된다.
감염된 컴퓨터에는 윈도우 폴더(일반적으로 C:\Winodws)
에 SYSRNJ.EXE 파일이 생성된다.
확장자가 EXE, JPG, JPEG, JPE, BMP, GIF, AVI, MPG, MPEG, WMF, WMA, WMV, MP3, MP2, VQF, DOC, XLS, ZIP, RAR, LHA, ARJ, REG 파일이 실행될 때 웜이 먼저 실행되도록 레지스트리를 변경한다.
이때 원래 파일을 다른 이름으로 저장하고 웜이 생성된다. (가령 A.ZIP을 클릭하면 원본은 다른 이름으로 저장되고 A.ZIP.EXE라는 웜이 만들어진다.)
<피해자 신고 실례>
E-mial로 제의 Pc에 감염된 것 같은데 Xromeo.exe 와 xjuliet.chm이란 file이 자꾸 나오며, 지우려해도 계속적으로 계속생기네요. 또한 저의 addres book에 있는 사람들에게 자동적으로 퍼지는것 같습니다. Outlook express 5.0을 사용하고 있습니다. 일단은 Address Book을 삭제 할까 합니다.
