바이러스 DB - 터보백신

치료방법: 터보백신 제품군으로 치료가능. 하드드리이브가 피해를 입은 경우 물리적으로 파괴하는 것은 아니므로, 파티션 설정을 한 후, 포멧을 하면 하드드라이브는 다시 사용할 수 있다. CMOS 데이터와 플래시 롬의 내용이 피해를 입은 경우 시스템을 기동할 수 없게 된다. 컴퓨터의 복구에는 CMOS를 리셋트하고, OS를 재인스톨해야 한다.

※ 상세 설명: W32/Kriz.4050 바이러스가 감염되면, 매년 12월 25일에 Flash메모리와 하드 디스크를 파괴한다. 파괴된 하드디스크의 자료는 복구가 불가능하므로 위험도가 매우 높은 바이 러스이다. W32/Kriz.4050 바이러스가 실행되면, 메모리 상주후 윈도의 커널영역 (Kernel32.dll)을 감염시킨다. 윈도 커널영역(Kernel32.dll)은 윈도 상태에서는 바로 감염이 불가능하기때 문에, 다음 부팅때 감염된 파일로 대체가 된다. KERNEL32.DLL를 KRIZED.TT6 라는 파일명으로 카피, KRIZED.TT6파일을 감염 시키고, 다음 부팅때 대체되는 방식을 사용한다. 이 방식으로 커널영역을 장악한 바이러스는 파일의 복사,생성,삭제,속성변 경,이동시 크기가 4096 바이트 이상의 파일중, 확장자가 EXE,SCR 인 파일만을 감염시킨다. 단, 안티바이러스들의 모듈이름으로 보이는 다음 파일들은 감염에서 제외되 어있다. _AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE, N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE, NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE, SMSS.EXE

터보백신 개인용 TurboVaccine Introduce