게임 프리서버 가장해 네티즌 유혹

복원기능 파일 삭제, D드라이브 모든 파일 및 폴더 삭제

같은 버전의 OS를 복사해서 복구 가능

안티바이러스 백신 개발업체 뉴테크웨이브(대표 김재명, www.viruschaser.com)는 최근 게임서버를 가장해 D:\드라이브의 모든 데이터를 삭제하는 론다 웜 변종을 새로 발견하고 주의를 당부했다. 론다 바이러스는 얼마 전 저작권협회를 사칭하며 게임 유저들에게 피해를 줘 이 분야에서는 악명이 높다.

론다 진단명(Win32.HLLW.Ronda.based)라는 이름의 이 바이러스는 아래와 같은 파일 정보를 통해 처음으로 발견되었다. 발견 당시 이 바이러스는 프리서버 접속기로 가장해 게임 유저들을 유혹했다. 프리서버란 온라인게임 개발·서비스업체의 서버 프로그램을 해킹해 독자적인 서버 시스템을 구축한 뒤 게임을 서비스하는 불법 서버. 프리서버 접속기는 해당 서버에 접속하는 클라이언트 프로그램이다.

새로 발견된 론다 웜 변종의 파일 정보(그림1)

이 변종 바이러스는 아래와 같은 특징을 갖는 것으로 파악됐다.

① 먼저 이 바이러스가 처음 실행되면 아래와 같이 가짜 메시지창을 띄운다.(그림2)

② 이어서 사용자가 시스템을 정상적으로 사용하지 못하도록 윈도우 복원 기능을 가진 아래와 같은 파일을 삭제한다.

- c:\windows\system32\hal.dll

- c:\WINDOWS\system32\Restore\rstrui.exe

- c:\windows\system32\dllcache\rstrui.exe

③ 다음으로 D:\ 드라이브에 있는 모든 폴더 및 파일을 삭제한다.

④ 그리고 c:\에 아래와 같은 RONDA.doc를 생성한다.

----- RONDA.doc 본문 내용 -----

그대는 생각해보았는가,·

당신은 패배자라는 걸,

그걸로 끝이야.

RONDA_WORM

복구는 같은 버전의 OS를 복사해서

이 론다웜에 감염되었다면 먼저 최신 업데이트 백신으로 치료한 후, 시스템을 복구해야 한다. 복구방법은, 복원 파일이 삭제되었으므로 감염된 시스템의 OS 버전을 확인하여 같은 OS 버전의 파일을 복사하여 복구하면 간편하다.

게임사이트를 애용하는 사용자들은 인터넷게시판, 게임자료실, P2P공유폴더 등으로 전파될 가능성이 높으므로 주의를 요망합니다.

<참고: 론다 바이러스 정보>

Win32.HLLW.Ronda

Win32.HLLW.Ronda(1)

Win32.HLLW.Ronda(2)

                                                     2007. 8. 3

                          시민의 관점으로 시민이 만드는 생활밀착 뉴스/정보

                                     보도자의 입장을 100%반영하는 보도

                                           카빙메이커투 : 이미화

                                           - 카빙-  cabing.co.kr

                              <저작권자 (C) 카빙. 무단전제 - 재배포 금지>