고객센터
공지사항
[보안공지]게임서버를 가장하고 D:드라이브의 모든 데이터를 삭제하는 론다웜 변종 발견
- 작성일
- 2007.08.02
게임서버를 가장하고 D:드라이브의 모든 데이터를 삭제하는 바이러스가 발견. 저작권협회를 사칭했던 론다 바이러스의 또다른 변종이 새로 발견되었습니다.
ㅇ 아래와 같은 파일정보로 최초 발견되었으며 특정게임의 프리서버 접속기로 가장했습니다.
( ‘프리서버’로 불리는 불법서버는 온라인게임 개발·서비스업체의 서버 프로그램을 해킹해 독자적 서버시스템을 구축한 뒤
게임을 서비스하는 범죄행위입니다. 프리서버 접속기는 해당 서버에 접속하는 클라이언트 프로그램입니다.)
ㅇ 론다 바이러스가 처음 실행되면 아래와 같이 가짜 메시지창을 띄웁니다.
ㅇ 사용자가 시스템을 정상적으로 사용하지 못하도록 윈도우 복원 기능을 가진 아래의 파일을 삭제한다.
- c:windowssystem32hal.dll
- c:WINDOWSsystem32Restorestrui.exe
- c:windowssystem32dllcachestrui.exe
ㅇ D: 드라이브에 있는 모든 폴더 및 파일을 삭제한다.
ㅇ c:에 RONDA.doc 를 생성한다.
----- RONDA.doc 본문 내용 -----
그대는 생각해보았는가,?
당신은 패배자 라는걸,
그걸로 끝이야.
RONDA_WORM
[조치방법]
Win32.HLLW.Ronda based에 의해 삭제되었다면 시스템을 복구한다. 복구 방법은 감염된 시스템의 OS 버전을 확인하여 같은 OS 버전의 파일을 복사하여 복구해도 무관하다.
<론다 바이러스 정보>