W32.Netsky@mm 전용 제거 도구

최근 업데이트 시기: April 29, 2004 11:58:30 AM

시만텍 보안 연구소 (Security Response)는 아래의 W32.Netsky@mm 변종 감염을 제거할 수 있는 도구를 개발하였습니다.

치료 가능 변종

제거 도구 기능

W32.Netsky@mm 전용 제거 도구의 기능은 다음과 같습니다.

W32.Netsky@mm 바이러스 성향의 작업 종료
W32.Netsky@mm 파일 삭제
웜에 의해 추가된 레지스트리 값 삭제

제거 도구 명령 스위치

스위치	설 명
/HELP, /H, /?	도움말 메세지를 보여줍니다.
/NOFIXREG	레지스트리 치유 기능 중지 (이 스위치의 사용은 권장하지 않음)
/SILENT, /S	비밀 모드 실행
/LOG=<저장 경로>	지정한 <저장 경로>에 도구 실행으로 생성한 로그 파일을 저장합니다. 기본 설정으로, 이 스위치는 FxNetsky.log라는 로그 파일을 생성하여, 제거 도구가 저장된 폴더에 저장됩니다.
/MAPPED	맵핑된 네트워크 드라이브를 검사 (이 스위치의 사용은 권장하지 않음 - 참고)
/START	즉시 검사
/EXCLUDE=<경로>	지정한 <경로>를 제외한 검사
/NOFILESCAN	바이러스 검사를 제외함 (파일 검사 없이 레지스트리만 복구함)

참고: 아래에 열거된 원인으로 인해, /MAPPED 스위치의 사용은 완전한 바이러스 제거를 보장할 수 없습니다.

맵핑된 드라이브의 검사는 맵핑된 폴더에만 한정되어 검사합니다. 원격 시스템에 있는 모든 폴더를 포함하는 것은 아니며, 이로 인해 바이러스 탐지가 실패할 수 있습니다.
바이러스 파일이 맵핑된 드라이브에서 탐지되었지만 원격 시스템에서 파일을 사용 중일 경우, 바이러스 제거는 실패할 것입니다.

다음과 같은 이유로, 모든 시스템에서 제거 도구를 실행하십시오.

제거 도구 다운로드 및 실행 방법

참고: Windows NT 4.0, Windows 2000 또는 Windows XP에서 제거 도구를 실행하려면 관리자 권한이 있어야 합니다.

주의 : MS Exchange 2000 서버 관리자는 전용 제거 도구를 실행할 때 /Exclude 스위치를 사용하여 특정 드라이브를 제외하는 방법으로 M 드라이브를 제외하십시오. 어떠한 스위치를 사용하든지 제거 도구를 사용하기 전에 반드시 M 드라이브의 데이타를 백업하십시오. 이러한 조치에 대한 이유와 자세한 설명은 다음 Microsoft 기술 자료를 참조하십시오. XADM: Exchange 2000 M 드라이브를 백업하거나 검색하지 않아야 한다 (기술 자료 298924)

제거 도구 파일 FxNetsky.exe을 아래 URL에서 다운로드 받으십시오.

http://www.symantec.com/avcenter/FxNetsky.exe
다운로드 받은 파일을 바탕 화면과 같이 편리하고 찾기 쉬운 곳 또는 감염이 되지 않은 플로피 디스크와 같은 곳에 저장하십시오.
디지털 서명 인증을 확인하려면 디지털 서명 섹션을 참조하십시오.
실행중인 응용 프로그램을 닫으십시오.
네트워크에 연결되어 있거나 인터넷에 항상 연결되어 있는 경우 네트워크 및 인터넷 연결을 끊으십시오.
Windows Me또는 Windows XP를 사용하는 경우 [시스템 복원] 옵션을 실행 중지하십시오. 자세한 내용은 Windows Me또는 Windows XP 시스템 복원 옵션 섹션을 참조하십시오.

주의: Windows Me또는 Windows XP를 사용하는 경우 이 과정을 반드시 수행하십시오. Windows Me/XP 시스템 복원 기능을 중지하지 않고 제거 도구를 사용하는 경우, 제거 작업이 성공하지 않을 수도 있습니다.
FxNetsky.exe 파일을 두 번 눌러 제거 도구를 시작하십시오.
[Start]를 눌러 프로세스를 시작한 다음 도구를 실행하십시오.

참고: 도구를 실행중 일부 파일을 삭제할 수 없다는 메시지가 나타나는 경우, 시스템을 안전 모드로 부팅을 한 후 도구를 다시 실행해야 합니다. 시스템을 종료 하시고 전원을 끄십시오. 30초 이상 기다리십시오. 안전 모드로 시스템을 다시 시작하고 도구를 다시 실행하십시오. Windows NT를 제외한 모든 32비트 Windows 운영 체제에서는 안전 모드로 다시 시작할 수 있습니다. 자세한 세부 사항을 원하시면, 다음 문서 시스템을 안전 모드로 시작하는 방법을 참조하십시오.
시스템을 다시 시작하십시오.
제거 도구를 한번 더 실행하여 바이러스가 시스템에서 완전히 제거 됐음을 확인하십시오.
Windows Me 또는 Windows XP를 사용하는 경우 중지 시켰던 [시스템 복원] 옵션을 실행하십시오.
LiveUpdate를 실행하여 가장 최근의 바이러스 정의를 사용하십시오.

도구 실행이 완료되면 W32.Netsky@mm 웜에 시스템이 감염 되었는지 여부를 알려주는 메시지가 나타납니다. 웜을 제거한 경우 다음과 같은 결과를 표시합니다:

Total number of the scanned files(검사한 파일의 수)
Number of deleted files(삭제한 파일의 수)
Number of repaired files (복구한 파일의 수)
Number of the terminated viral processes (종료시킨 바이러스 프로세스의 수)
Number of the fixed registry entries fixed(수정한 레지스트리 항목의 수)

디지털 서명
FxNetsky.exe는 디지털로 서명됩니다. 시만텍은 시만텍 보안 연구소(Security Response) 다운로드 사이트에서 직접 다운로드한 FxNetsky.exe 파일만 사용할 것을 권장합니다. 디지털 서명 인증을 확인하려면 다음 단계를 진행하십시오:

http://www.wmsoftware.com/free.htm을 방문하십시오.
Chktrust.exe 파일을 FxNetsky.exe 파일이 저장된 동일한 폴더에 저장하십시오(예: C:\Downloads).
Windows 시스템에 따라 다음 중 하나를 선택하여 따르십시오.
- [시작]을 누르고 [프로그램]을 선택한 다음 [한글 MS-DOS]를 누르십시오.
- [시작] > [프로그램] >[보조 프로그램] > [명령 프롬프트]를 누르십시오.
FxNetsky.exe 및 Chktrust.exe가 저장된 폴더로 변경한 후, 다음 명령을 입력하십시오.

chktrust -i FxNetsky.exe

예를 들어, C:\Downloads 폴더에 파일을 저장한 경우 다음과 명령을 입력하십시오.

cd\
cd downloads
chktrust -i FxNetsky.exe

각 명령을 입력한 후에 Enter를 누르십시오. 디지털 서명이 유효한 경우 다음과 같은 안내 메시지가 나타납니다.

Do you want to install and run "W32.Beagle.A@mm Removal Tool" signed on 9/19/2003 9:37 (UTC) and distributed by Symantec Corporation?

참고:
- 컴퓨터가 미국 서부 시간대(PST)로 설정되지 않은 경우 이 메시지에 표시되는 날짜와 시간은 현지 시간으로 표시됩니다.
- 서머 타임을 사용하는 경우 정확히 한 시간 빠른 시각이 표시됩니다.
- 이와 같은 메시지가 나타나지 않는 경우, 두 가지 가능성이 예상됩니다.
  - 이 제거 도구는 시만텍 보안 연구소에서 제작 배포한 것이 아님 제거 도구가 시만텍 사이트에서 다운로드 받은 것이 아니라면, 제거 도구를 실행 하지 마십시오.
  - 시만텍에서 제작되었으며 정상적인 도구입니다. 하지만, 시만텍에서 제작된 컨텐트를 항상 신뢰하도록 운영 체제에 설정되었습니다. 자세한 내용 및 확인 대화 상자 재표시 방법은 Publisher Authenticity 확인 대화 상자를 복원하는 방법 문서를 참조하십시오.
[예]를 눌러 대화 상자를 닫으십시오.
exit를 입력하고 Enter를 누르십시오. 이렇게 하면 MS-DOS 세션이 닫힙니다.

Windows Me또는 Windows XP 시스템 복원 옵션

Windows Me 및 Windows XP 사용자는 [시스템 복원] 옵션 실행을 잠시 중지하십시오. 이 기능은 기본값으로 활성화되어 있으며 파일이 손상된 경우 Windows에서 이 파일을 복원하는 데 사용됩니다. 바이러스, 웜, 또는 트로이 목마 감염을 치료한 후, [시스템 복원] 기능이 이를 다시 복원 시킬 수도 있습니다.

Windows는 바이러스 방지 프로그램을 포함한 외부의 프로그램이 [시스템 복원]을 변경하는 것을 방지합니다. 그러므로, 바이러스 방지 프로그램은 [시스템 복원]폴더에 있는 위해한 프로그램을 삭제할 수 없습니다. 이로 인해, [시스템 복원]은 바이러스 감염 치료후, 감염된 파일을 시스템에 다시 복구할 가능성이 있습니다.

또한, 일부의 경우, 온라인 검사는 바이러스 방지 소프트웨어로 탐지하지 못한 시스템 복원 폴더에 있는 위해한 파일들을 탐지하는 경우도 있습니다.

[시스템 복원]기능을 중지하는 방법에 관한 설명은 다음 문서를 참조하십시오.

자세한 내용 및 [시스템 복원] 옵션 해제 이외의 방법에 대해서는 Microsoft 기술 자료인 바이러스 백신 도구가 _Restore 폴더에서 감염된 파일을 복구하지 못한다 (기술 자료 263455)를 참조하십시오.

Write-up by: Benjamin Nahorney