2009년 2월 9일 시스템 날짜를 2090년 1월 1일로 변경하는(변경되지 않을 수도 있음) 신종 악성코드가 발견되었다.

- 파일명 : system.exe
- 파일길이 : 15,872 바이트
- MD5 : 9420396e9264918f50155b577ceda82e
- V3 진단명 : Win32/AimBot.worm.15872 ( 2009.02.09.03 엔진에서 Win-Trojan/Agent.15872.KM 로 진단)

사람들 사이에 2090 바이러스, 2090년 바이러스로 알려진 이 웜은 특징적인 증상으로 감염된 시스템에 따라 2090년 1월 1일로 시스템 날짜가 변경되고 로그인이 안 될 수 있다. (안전모드로 부팅이 안 될 수 있다.)

- 안철수연구소 분석 자료
http://kr.ahnlab.com/info/smart2u/virus_detail_25902.html


[공포의 확산]

악성코드 감염 수에 비해서는 공포가 점차 커졌는데 우선 네티즌들이 확인되지 않은 일부 사실들이 글로 올리고 언론에서 기사화하면서 공포가 확산된 경향도 있다.

또한 이상하게 한국에서만 활동했는지 2009년 2월 9일 저녁에 국내에서 보고된 후 이틀이 지난 2009년 2월 11일 새벽 현재까지 진단되지 않는 제품이 다수 존재한다.

국내 업체를 포함해서 2009년 2월 9일 엔진부터 예방이 가능하므로 너무 걱정할 필요 없다.




[안철수연구소 전용백신]

이 웜에 감염되면 최근에 악성코드에서 사용하는 기법으로 진단/치료를 방해한다. 따라서, 기존 백신 제품으로는 감염되어도 치료는 커녕 진단도 되지 않을 수 있다. 현재 안철수연구소는 전용 백신을 제공하고 있다.

- Win32/AimBot.worm.15872 전용 백신
http://kr.ahnlab.com/dwVaccineView.ahn?num=86&cPage=1



[진단명]


http://www.virustotal.com/analisis/4701f413ebf4cb7ac46f5d47613afb32

* 2009년 2월 10일 오전 10시 50분 -----------------------------------------

안티바이러스 엔진 버전 정의 날짜 검사 결과

a-squared 4.0.0.93 2009.02.10 Virus.Win32.PureMorph!IK
AhnLab-V3 5.0.0.2 2009.02.10 Win-Trojan/Agent.15872.KM
AntiVir 7.9.0.76 2009.02.09 -
Authentium 5.1.0.4 2009.02.10 -
Avast 4.8.1335.0 2009.02.09 Win32:PureMorph
AVG 8.0.0.229 2009.02.09 -
BitDefender 7.2 2009.02.10 -
CAT-QuickHeal 10.00 2009.02.09 -
ClamAV 0.94.1 2009.02.09 -
Comodo 972 2009.02.09 -
DrWeb 4.44.0.09170 2009.02.10 -
eSafe 7.0.17.0 2009.02.09 Suspicious File
eTrust-Vet 31.6.6347 2009.02.09 -
F-Prot 4.4.4.56 2009.02.09 -
F-Secure 8.0.14470.0 2009.02.10 -
Fortinet 3.117.0.0 2009.02.09 -
GData 19 2009.02.10 Win32:PureMorph 
Ikarus T3.1.1.45.0 2009.02.10 Virus.Win32.PureMorph
K7AntiVirus 7.10.624 2009.02.09 -
Kaspersky 7.0.0.125 2009.02.10 -
McAfee 5520 2009.02.08 -
McAfee+Artemis 5521 2009.02.09 Generic!Artemis
Microsoft 1.4306 2009.02.09 -
NOD32 3840 2009.02.10 probably a variant of Win32/Genetik
Norman 6.00.02 2009.02.09 -
nProtect 2009.1.8.0 2009.02.09 -
Panda 9.5.1.2 2009.02.09 -
PCTools 4.4.2.0 2009.02.09 -
Prevx1 V2 2009.02.10 Malicious Software
Rising 21.15.50.00 2009.02.07 -
SecureWeb-Gateway 6.7.6 2009.02.09 -
Sophos 4.38.0 2009.02.10 Sus/Dropper-A
Sunbelt 3.2.1847.2 2009.02.07 -
Symantec 10 2009.02.10 Suspicious.MH690.A
TheHacker 6.3.1.5.250 2009.02.09 -
TrendMicro 8.700.0.1004 2009.02.09 PAK_Generic.001
VBA32 3.12.8.12 2009.02.08 -
ViRobot 2009.2.9.1596 2009.02.09 Trojan.Win32.Crypt.15872.B
VirusBuster 4.5.11.0 2009.02.09 -

* 2009년 2월 11일 00시 진단 결과 --------------------------------------------------------

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.93 2009.02.10 Virus.Win32.PureMorph!IK
AhnLab-V3 5.0.0.2 2009.02.10 Win32/Aimbot.worm.15872
AntiVir 7.9.0.76 2009.02.10 -
Authentium 5.1.0.4 2009.02.10 -
Avast 4.8.1335.0 2009.02.09 Win32:PureMorph
AVG 8.0.0.229 2009.02.10 Generic12.BMBL
BitDefender 7.2 2009.02.10 -
CAT-QuickHeal 10.00 2009.02.10 -
ClamAV 0.94.1 2009.02.10 -
Comodo 973 2009.02.10 -
DrWeb 4.44.0.09170 2009.02.10 -
eSafe 7.0.17.0 2009.02.09 Suspicious File
eTrust-Vet 31.6.6348 2009.02.10 -
F-Prot 4.4.4.56 2009.02.10 -
F-Secure 8.0.14470.0 2009.02.10 Trojan.Win32.Inject.oqw
Fortinet 3.117.0.0 2009.02.10 -
GData 19 2009.02.10 Win32:PureMorph 
Ikarus T3.1.1.45.0 2009.02.10 Virus.Win32.PureMorph
K7AntiVirus 7.10.626 2009.02.10 -
Kaspersky 7.0.0.125 2009.02.10 Trojan.Win32.Inject.oqw
McAfee 5521 2009.02.10 -
McAfee+Artemis 5521 2009.02.09 Generic!Artemis
Microsoft 1.4306 2009.02.10 -
NOD32 3842 2009.02.10 probably a variant of Win32/Genetik
Norman 6.00.02 2009.02.09 -
nProtect 2009.1.8.0 2009.02.10 Trojan/W32.Agent.15872.AY
Panda 10.0.0.10 2009.02.09 Generic Malware
PCTools 4.4.2.0 2009.02.10 -
Prevx1 V2 2009.02.10 Malicious Software
Rising 21.16.12.00 2009.02.10 -
SecureWeb-Gateway 6.7.6 2009.02.10 -
Sophos 4.38.0 2009.02.10 Sus/Dropper-A
Sunbelt 3.2.1847.2 2009.02.07 -
Symantec 10 2009.02.10 Suspicious.MH690.A
TheHacker 6.3.1.5.250 2009.02.09 -
TrendMicro 8.700.0.1004 2009.02.10 PAK_Generic.001
VBA32 3.12.8.12 2009.02.10 -
ViRobot 2009.2.10.1599 2009.02.10 Trojan.Win32.Crypt.15872.B
VirusBuster 4.5.11.0 2009.02.09 -


* 2009년 2월 12일 오전 10시 테스트 결과 ------------------------------------------

악성코드가 등장한지 4일이 되었지만 여전히 절반 정도(55.27%)만 진단된다.

안티바이러스 엔진 버전 정의 날짜 검사 결과

a-squared 4.0.0.93 2009.02.12 Virus.Win32.PureMorph!IK
AhnLab-V3 5.0.0.2 2009.02.11 Win32/Aimbot.worm.15872
AntiVir 7.9.0.76 2009.02.11 TR/Inject.oqw
Authentium 5.1.0.4 2009.02.12 -
Avast 4.8.1335.0 2009.02.11 Win32:PureMorph
AVG 8.0.0.229 2009.02.11 Generic12.BMBL
BitDefender 7.2 2009.02.12 -
CAT-QuickHeal 10.00 2009.02.11 -
ClamAV 0.94.1 2009.02.12 -
Comodo 974 2009.02.11 -
DrWeb 4.44.0.09170 2009.02.12 -
eSafe 7.0.17.0 2009.02.11 Suspicious File
eTrust-Vet 31.6.6350 2009.02.11 -
F-Prot 4.4.4.56 2009.02.11 -
Fortinet 3.117.0.0 2009.02.12 -
GData 19 2009.02.12 Win32:PureMorph 
Ikarus T3.1.1.45.0 2009.02.12 Virus.Win32.PureMorph
K7AntiVirus 7.10.627 2009.02.11 -
Kaspersky 7.0.0.125 2009.02.12 Trojan.Win32.Inject.oqw
McAfee 5523 2009.02.11 Generic.dx
McAfee+Artemis 5523 2009.02.11 Generic.dx
Microsoft 1.4306 2009.02.11 -
NOD32 3846 2009.02.11 probably a variant of Win32/Genetik
Norman 6.00.02 2009.02.11 W32/Malware.FPKK
nProtect 2009.1.8.0 2009.02.11 Trojan/W32.Agent.15872.AY
Panda 10.0.0.10 2009.02.11 Generic Malware
PCTools 4.4.2.0 2009.02.11 -
Prevx1 V2 2009.02.12 Malicious Software
Rising 21.16.22.00 2009.02.11 -
SecureWeb-Gateway 6.7.6 2009.02.11 Trojan.Inject.oqw
Sophos 4.38.0 2009.02.11 Troj/Agent-IWJ
Sunbelt 3.2.1851.2 2009.02.11 -
Symantec 10 2009.02.12 W32.IRCBot
TheHacker 6.3.1.85.252 2009.02.11 -
TrendMicro 8.700.0.1004 2009.02.11 TROJ_AGENT.ASF
VBA32 3.12.8.12 2009.02.11 -
ViRobot 2009.2.11.1600 2009.02.11 Trojan.Win32.Crypt.15872.B
VirusBuster 4.5.11.0 2009.02.11 -


* 2009년 2월 12일 오후 5시 30분 테스트 결과 ------------------------------------------

마이크로소프트가 새롭게 추가되었네요.

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.93 2009.02.12 Virus.Win32.PureMorph!IK
AhnLab-V3 5.0.0.2 2009.02.12 Win32/Aimbot.worm.15872
AntiVir 7.9.0.76 2009.02.11 TR/Inject.oqw
Authentium 5.1.0.4 2009.02.12 -
Avast 4.8.1335.0 2009.02.11 Win32:PureMorph
AVG 8.0.0.229 2009.02.11 Generic12.BMBL
BitDefender 7.2 2009.02.12 -
CAT-QuickHeal 10.00 2009.02.11 -
ClamAV 0.94.1 2009.02.12 -
Comodo 974 2009.02.11 -
DrWeb 4.44.0.09170 2009.02.12 -
eSafe 7.0.17.0 2009.02.11 Suspicious File
eTrust-Vet 31.6.6352 2009.02.12 Win32/Tnega.Q
F-Prot 4.4.4.56 2009.02.11 -
F-Secure 8.0.14470.0 2009.02.12 Trojan.Win32.Inject.oqw
Fortinet 3.117.0.0 2009.02.12 -
GData 19 2009.02.12 Win32:PureMorph 
Ikarus T3.1.1.45.0 2009.02.12 Virus.Win32.PureMorph
K7AntiVirus 7.10.627 2009.02.11 -
Kaspersky 7.0.0.125 2009.02.12 Trojan.Win32.Inject.oqw
McAfee 5523 2009.02.11 Generic.dx
McAfee+Artemis 5523 2009.02.11 Generic.dx
Microsoft 1.4306 2009.02.12 Backdoor:Win32/IRCbot
NOD32 3847 2009.02.12 probably a variant of Win32/Genetik
Norman 6.00.02 2009.02.11 W32/Malware.FPKK
nProtect 2009.1.8.0 2009.02.12 Trojan/W32.Agent.15872.AY
Panda 10.0.0.10 2009.02.11 Generic Malware
PCTools 4.4.2.0 2009.02.11 -
Prevx1 V2 2009.02.12 Malicious Software
Rising 21.16.31.00 2009.02.12 -
SecureWeb-Gateway 6.7.6 2009.02.12 Trojan.Inject.oqw
Sophos 4.38.0 2009.02.12 Troj/Agent-IWJ
Sunbelt 3.2.1851.2 2009.02.12 -
Symantec 10 2009.02.12 W32.IRCBot
TheHacker 6.3.1.9.254 2009.02.12 -
TrendMicro 8.700.0.1004 2009.02.12 TROJ_AGENT.ASF
VBA32 3.12.8.12 2009.02.11 -
ViRobot 2009.2.12.1602 2009.02.12 Trojan.Win32.Crypt.15872.B
VirusBuster 4.5.11.0 2009.02.11 -



-------------

실행되면 같이 설치되는 드라이버 파일

- 파일길이 : 4,096 바이트
- MD5 : f82abd63e90429ae68cee70e40a51c60
- V3 진단명 : Win-Trojan/Agent.4096.EI

http://www.virustotal.com/analisis/693c5830e489e623a816e2fbaffe7d92

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.93 2009.02.10 -
AhnLab-V3 5.0.0.2 2009.02.10 Win-Trojan/Agent.4096.EI
AntiVir 7.9.0.76 2009.02.09 TR/Rootkit.Gen
Authentium 5.1.0.4 2009.02.10 -
Avast 4.8.1335.0 2009.02.09 -
AVG 8.0.0.229 2009.02.09 -
BitDefender 7.2 2009.02.10 -
CAT-QuickHeal 10.00 2009.02.09 -
ClamAV 0.94.1 2009.02.09 -
Comodo 972 2009.02.09 -
DrWeb 4.44.0.09170 2009.02.10 -
eSafe 7.0.17.0 2009.02.09 -
eTrust-Vet 31.6.6347 2009.02.09 -
F-Prot 4.4.4.56 2009.02.09 -
F-Secure 8.0.14470.0 2009.02.10 -
Fortinet 3.117.0.0 2009.02.09 -
GData 19 2009.02.10 -
Ikarus T3.1.1.45.0 2009.02.10 -
K7AntiVirus 7.10.624 2009.02.09 -
Kaspersky 7.0.0.125 2009.02.10 -
McAfee 5521 2009.02.10 -
McAfee+Artemis 5521 2009.02.09 -
Microsoft 1.4306 2009.02.09 -
NOD32 3840 2009.02.10 -
Norman 6.00.02 2009.02.09 -
nProtect 2009.1.8.0 2009.02.09 -
Panda 9.5.1.2 2009.02.09 -
PCTools 4.4.2.0 2009.02.09 -
Prevx1 V2 2009.02.10 -
Rising 21.15.50.00 2009.02.07 -
SecureWeb-Gateway 6.7.6 2009.02.09 Trojan.Rootkit.Gen
Sophos 4.38.0 2009.02.10 -
Sunbelt 3.2.1847.2 2009.02.07 -
Symantec 10 2009.02.10 -
TheHacker 6.3.1.5.250 2009.02.09 -
TrendMicro 8.700.0.1004 2009.02.09 -
VBA32 3.12.8.12 2009.02.08 -
ViRobot 2009.2.9.1596 2009.02.09 -
VirusBuster 4.5.11.0 2009.02.09 -

[기사]

초기 기사들은 인터넷에 떠도는 내용을 실어 조금(?) 과장된 부분이 존재한다.

- 악질 2090 바이러스에 인터넷이 떤다
http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=00000921564706&cDateYear=2009&cDateMonth=02&cDateDay=10

2월 11일부터는 과장된 내용보다 차분한(?) 기사들이 뜬다.

- 2090 바이러스, "부정확한 내용 확산 불안심리 조장" (보안뉴스, 2009년 2월 11일)
http://www.boannews.com/media/view.asp?idx=14315&kind=3

- 2090바이러스 피해 “생각보다 크지 않아” (전자신문, 2009년 2월 12일)
http://www.etnews.co.kr/news/detail.html?id=200902120026

Posted by mstoned7

댓글을 달아 주세요

  1. 전단지박사 2009.02.10 15:02  댓글주소  수정/삭제  댓글쓰기

    잘 보구 갑니다 시간 되시면 제 카페도 들려 주세요 http://cafe.daum.net/p]
    pp8

  2. 코프 2009.02.11 13:07  댓글주소  수정/삭제  댓글쓰기

    카스퍼스키 보다 한발 빨랐네요 ㄷㄷ

    그보다 2090 바이러스 보니까
    예전에 매달 1일에 LG 로고송 들려주던 녀석이 생각나는건 (ㅠㅠ)



    p.s 위에 분 카페는 광고 카페 입니다;

  3. gongc 2009.02.11 19:49  댓글주소  수정/삭제  댓글쓰기

    나다. 공 ㅋㅋ
    오늘 회사사람들이 2090 바이러스때문에 얘기하다가 니생각이 나서 여기까지 흘러들어왔다. ㅋ
    잘 있냐...
    장가 안 가냐..
    서울에 있나..
    음..함 보자 히...^^

    • mstoned7 2009.02.11 20:10 신고  댓글주소  수정/삭제

      이게 누구야 ? ^^; 잘 지내지 ? 장가는.. 다 준비되었는데 여자가 없네 TT 회사는 여의도에 집은 신대방 삼거리역 근방에 있음. 여비 가을에 결혼한다니 그때는 볼 수 있겠지 ~ ^^;

  4. mstoned7 2009.02.13 00:12 신고  댓글주소  수정/삭제  댓글쓰기

    오..여비 결혼하는구나!
    이제 하나둘씩 가는 것인가..^^
    가을이면 한참 남았다..
    그전에 설에서 모일수있으면 보고...아님 울산에서라도^^
    다들 어찌 변했는지 보고싶다.
    작년에 호준이랑 준성이 은정이는 만났는데.
    나는 회사는 청담에 집은 분당이당.
    날잡아 함 보자궁.
    010-xxxx-xxxx 니 번호 냉겨라.
    그럼 take care~

    • mstoned7 2009.02.13 00:14 신고  댓글주소  수정/삭제

      여 ~ .. 내가 댓글 수정했더니 바뀌었는데 gongc ... 개인 휴대폰 번호는... xxxx 로 처리했다. 난 번호 그대로인데.. 여튼 연락할게.. 여비도 윗쪽 동네에 있으니 결혼 전에 서울이나 울산에서 볼 수 있겠지 :) 그런데, 주변에 참한 처자 없냐 ? 소개팅 좀 TT