2090 바이러스

1. 컴퓨터의 시간을 2090년 1월 1일 오전 10시로 변경한다.
2. 윈도 폴더내의 하위폴더인 System32 폴더에 임의의 7자리의 숫자로 된 악성코드 복사본 파일, 외부로부터 내려받아진 3자리 숫자로 된 악성코드 파일, 사용자 계정 폴더의 Local Settings 폴더의 하위폴더인 Temp 폴더에는 임의의 5자리의 숫자로 된 확장자 sys의 파일을 생성한다.
3. 기능 수행을 위해 시스템 자원을 과도하게 사용하여 컴퓨터의 동작이 중단될 수 있다.
4. 드라이버 충돌로 인한 블루스크린의 발생 가능성이 있다.
5. 부팅 후 자동 실행이 되기 위해 userinit.exe 키 값을 변경한다. Userinit 값의 삭제로 인해 등록이나 등록 후 정상적인 인식을 하지 못하거나 버그로 인해 로그온/로그오프를 반복하기도 한다. 주로 윈도우 XP의 서비스 팩 3이 설치된 시스템 중 일부에서 반복 현상이 일어난다고 알려져있다.
6. 특정 IRC 채널에 접속, 방장이 내리는 명령에 따라 다양한 악의적 기능을 수행한다.
7. MS08-067 취약점을 이용하여 TCP 445 포트를 스캔하고 대상 시스템에 취약점이 존재하면 익스플로잇 코드를 전송하여 전파한다.
8. 오토런을 악용한 전파를 위해 외부 저장장치에 explorer.exe(악성코드), Autorun.inf(오토런)을 생성한다.
9. 동일 네트워크에 존재하는 시스템에 Arp와 Ping 패킷을 보내고, 445포트를 이용한 취약점 스캔으로 네트워크에 과부하를 초래한다.

누리꾼들 사이에서 바이오스 상주와 포맷 후에도 제거되지 않는다는 루머가 있으나, 이 악성코드의 감염 경로를 통한 재감염으로 인해 발생하는 오해이다.^[4]

• 관련 취약점: MS08-067, RPC DCOM(MS03-039)
• 외부로부터 들어온 악성코드의 복사본의 실행
• 오토런(자동 실행)을 악용, 네트워크 드라이브 또는 USB 플래시 메모리, 외장형 하드디스크 등과 같은 외부 저장 장치를 통해 감염되고 확산되는데 감염 여부를 확인하고 치료를 해야한다. 오토런을 사용 안하는 방식으로 직접 실행이 없는 한 방어가 가능하다.
• 이 악성코드는 기생형이 아니므로 파일을 감염시키지 않는다.^[5] 그러므로 다운로드 받은 파일에 의한 감염 가능성은 매우 낮다.

1. 취약점인 KB958644 (MS08-067)를 패치한다.^[1]
2. 침입 경로인 TCP 139 포트와 TCP 445 포트를 차단한다.
3. 치료하였더라도, 다시 감염되지 않기 위해서는 최신 데이터베이스로 업데이트된 백신과 방화벽 사용을 권장한다.
4. 외부 저장 장치의 자동 실행 기능을 비활성화한다.
5. 전용백신을 다운받아서 치료한다.
6. 수상한 사이트나 이메일을 열어보지 않는다.

이 바이러스의 변종으로 2070 바이러스가 있다. 부여된 정식 명칭은 Backdoor.Win32.IRCBot.15872.I이며, 증상은 컴퓨터 시간을 2070년 1월 1일 오전 10:00로 바꾸는 것 외에는 2090 바이러스와 동일하다.^[6]

• Win32/AimBot.worm.15872(안철수연구소) 정보
• Trojan.Win32.Crypt.15872.B(하우리) 정보^{[깨진 링크(과거 내용 찾기)]}
• Win32/AimBot.worm.15872, Win-Trojan/Agent.4096.EI(안철수연구소) 전용 백신
• 2090 Worm nProtect 전용 백신^{[깨진 링크(과거 내용 찾기)]}
• Rootkit.Win32.Agent.hcd, Trojan.Win32.Inject.oqw(Kaspersky) 전용 백신
• Trojan.Downloader.2070.Based(바이러스체이서) 변종 정보^{[깨진 링크(과거 내용 찾기)]}