나무모에 미러 (일반/어두운 화면)
최근 수정 시각 : 2022-09-23 00:17:43

바이럿

1. 개요2. 상세3. 감염 방식4. 증상5. 치료6. 예방7. 관련 문서

1. 개요

2000년대 중후반에 출현한 컴퓨터 바이러스. 나온 지 오래된 바이러스이지만 아직까지도 웹상에서 돌아다니고 있으며 여전히 감염되면 위험하다.

2. 상세

파일을 감염시키는 바이러스다. P2P 등을 통해 전파된다. 진단명은 Win32/Virut[1],Win32/Virut.F 및 E[2], Virus/Win32.Virut.N1624286242[3] 등으로 분류되고, Avast의 진단명은 Win32:Vitro로 분류하고, 알약에서는 win32.virtob로 분류하기도 하나 제대로 탐지하지 않는다.[4]

.exe(실행 파일), .scr(화면 보호기) 파일들을 감염시키는 바이러스이기 때문에 치료 성공률이 매우 낮다. 걸리면 매우 위험한 바이러스이기도 하다.

또한 바이럿(Virut) 바이러스는 감염을 위해서 Windows 파일 시스템 중 하나인 ntdll.dll에 커널 함수를 후킹해 두고[5][6] 있기 때문에, 완벽한 치료를 위해서는 메모리 치료도 병행해야 한다. 포맷해도 다시 살아나는 경우가 있는데, 감염되고 나서 치료 등의 후처리를 하지 않은 .exe파일을 통해 재감염이 이루어지는 것이다.

Windows 7에서도 잘 작동한다. 다만 확실히 Windows XP보다는 감염 속도가 느리고 제한적이다.[7] 시스템 파일은 쉽게 감염되지 않으나 응용 프로그램들은 무서운 속도로 감염된다. 감염된 파일은 제대로 실행되지 않고 오류를 출력한다.

Windows 10에서도 작동하기는 하나 UAC 덕분에 관리자 권한으로 실행해야만 제대로 작동하고 그 마저도 소유주 문제로 시스템 파일이 감염되지 않는다. 다만 UWP 앱 실행 파일은 감염된다.

3. 감염 방식

유형에 따라 감염 방식도 다르다.

F형: 원본 EP(Entry-Point)를 변조해서 바이러스 코드가 먼저 실행하도록 하게 만든다.
E형: 원본 EP(Entry-Point)를 변조하지 않고, 내부에 사용하는 정상적인 CALL 명령어를 패치하여 JMP 명령어로 변경을 통해 바이러스 코드가 먼저 실행되도록 하게 만든다.

이외에도 수많은 변종이 존재한다.

4. 증상

감염됐을 때의 증상은 다음과 같다.

5. 치료

일반적으로 바이러스 백신으로 치료하면 일부 파일이 치료가 되지 않거나, 치료가 되어도 일부 파일이 실행이 안 되는[13] 상황 등이 발생한다.

그래서 안랩에서 Win32/Virut 바이러스 전용 백신을 제공해주고 있다. 다운로드[14] 안전 모드로 부팅한 후에 이 백신을 통해 치료해 주자. 이후 재부팅하고 다시 안전 모드로 들어간 후 재검사를 해서, 탐지가 되지 않을 때까지 이 작업을 반복한다.

만약 이 방법이 통하지 않으면[15] 포맷하여 Windows를 재설치해야 한다. 아니면 그냥 바이럿을 지니고 있는 채로 살던가

6. 예방

출현한지 오래된 파일 실행형 바이러스이므로 기본적인 보안 수칙을 준수하는 것만으로도 충분히 예방이 가능하다.

7. 관련 문서


[1] Windows Defender 및 MRT[2] 이게 걸리면 F형, E형 중 하나만 감염된다. F형, E형 동시에 걸리는 경우도 있다[3] 바이러스 토탈에서 안랩 V3이 이렇게 탐지하기도 했으나, 실제로는 Win32/Virut.F 로 탐지한다. 주의할 것[4] 실시간 감시는 물론이고 파일 검사로도 제대로 검출되지 않는다. 이게 언제 나온 바이러스인데 아직까지(...)[5] NtCreateFile, NtCreateProcess, NtCreateProcessEx(윈도우 2000은 해당하지 않음)[6] 변조된 ntdll.dll 은 V3에서 Win32/Virut 로 진단한다. 또한 진단하자마자 바로 치료한다.[7] Windows XP는 권한 개념이 모호했으나 Windows Vista부터 사용자 계정 컨트롤를 도입하여 권한 개념을 제대로 정립시키면서 쉽게 시스템 파일을 건들 수 없게 되었다.[8] 참고로 다른 드라이브(USB도 포함)에서 .exe(실행파일)또는 .scr(화면 보호기)를 실행하면 바이러스에 감염된다. 아니면 다른 드라이브도 감염될 수도 있다. 만약 Windows 설치 USB가 감염되고, 이걸로 Windows 설치를 진행한다면... 더 이상의 자세한 설명은 생략한다.[9] 심지어 감염된 .NET 프로그램을 디컴파일해도 코드에는 아무 이상이 없는 것처럼 나온다(...)[10] 지금은 서버가 사라져서 트로이 목마를 다운로드하고 실행하는 것은 불가능하다.[11] Windows 파일 보호 쓰레드를 강제로 종료하는 것이다.[12] 온갖 파일을 닥치는대로 감염시키다 보니 치료 과정에서 필연적으로 일부 프로그램이 손상된다.[13] 특히 .NET 기반으로 만든 프로그램들[14] 참고로 확장자는 com으로 되어 있다. 바이럿이 exe와 scr만 감염시킨 점을 감안해서 이렇게 정한 것[15] 안전 모드 접근이 안 되는 등