컴퓨터를 부팅시 wininit.exe가 여러게 실행 되면서 컴퓨터가 느려지거나, 그 증상이 심각하면 정상적인 화면으로 부팅이 되질 않고 안전모드로 부팅이 되는 경우는 바이러스에 의한 경우이므로 아래의 내용을 잘 읽어 보시고 따라서 하세요.(아래의 내용은 안철수바이러스연구소 홈에서 발췌한 내용입니다.)
I-Worm/Wininit은 TROJ_BYMER 등으로 불리는 웜으로 러시아에서 제작된것으로 추정되며 2000년 10월초 발견되었다.
웜이 실행되면 임의의 IP 주소로 C 드라이브가 공유된 컴퓨터를 찾아서 감염시키며, 감염된 컴퓨터는 네트워크 속도가 매우 느려져서, 컴퓨터가 다운 된것처럼 보일 수도 있다.
감염된 컴퓨터는 윈도우 시스템 폴더 ( 일반적으로 C:WindowsSystem )에 WININIT.EXE( 220672 바이트 )가 생성된다. 단, 윈도우 폴더의 WININIT.EXE 파일은 정상적인 파일이므로 삭제해선 안된다. 이 파일은 대략 4만 바이트의 크기를 가지고 있다.
레지스트에 다음 항목이 추가 되어 윈도우 부팅시 자동으로 웜이 실행되도록 한다.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun 항목에 "bymer.scanner = c:WINDOWSSYSTEMWININIT.EXE"
다음의 파일들 역시 윈도우 시스템폴더에 생성된다.
DNETC.EXE
DNETC.INI
WININIT.INI
웜은 DNETC.EXE -hide -install 항목을 실행 하며, 레지스트리의 항목에 다음이 추가 된다. 주 : DNETC.EXE 파일은 정상 유틸리티로 V3에선 진단하지 않는다.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices 항목에 "distributed.net client = C:WINDOWSSYSTEMDNETC.EXE -hide"
네트웍에 연결된 많은 컴퓨터가 C 드라이브 전체를 읽기/쓰기 공유 상태로 사용하는데 이는 보안상 매우 위험한 일이며 이 웜뿐 아니라 유사 웜에도 쉽게 감염 될 수 있다. 실제 이 웜에 감염된 컴퓨터는 유사하게 퍼지는 VBS/Netlog나 I-Worm/Qaz에도
감염된 경우가 많았다.
치료방법 V3+ Neo 및 V3Pro 98 사용자인 경우
1. 최신버전의 V3+ Neo를 다운로드 받아 도스모드로 부팅한 후 웜을 삭제한다.
※참고로 도스모드는 컴퓨터 부팅시 "StartingWindows95/98"이라는 메시지가 출력될
때 키를 눌러 "Command Prompt Only Mode" 메뉴로 부팅하시거나, 윈도우의 시스템 종료시 "MS-DOS 모드에서 시스템 다시 시작"로 나갈 수 있다.
2. 도스모드로 부팅이 되었다면 (빠져나왔다면) V3+ Neo를 다운로드 받아 압축을 해제한 폴더로 이동한후 검사를 시작한다.
예) CD V3 <- V3라는 폴더에 있는 경우
예) V3 C: <- C 드라이브를 검사하라는 명령
다음의 파일이 windowssystem 폴더에서 진단된다면 삭제한다.
WININIT.EXE
단, c:windowswininit.exe 파일은 윈도우에서 사용하는 정상 파일이므로 삭제하면 안된다.
또한 윈도우 시스템 폴더에 있는 다음과 같은 파일을 삭제한다.
예) cd windowssystem <- 해당 폴더로 이동
WININIT.INI
DNETC.EXE
DNETC.INI
참고로 DNETC.EXE 파일은 웜이 생성한 파일이나 정상적인 프로그램으로 V3에서는 진단되지 않는다. 사용자가 직접 삭제한다.
3. 윈도우 재부팅후에 바탕화면에서 '시작' -> '실행'-> regedit를 입력해서 실행한 후에 다음의 키를 찾아 삭제한다. (V3Pro 2000 Deluxe 사용자 공통)
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
"bymer.scanner = c:WINDOWSSYSTEMWININIT.EXE" <- 삭제
3-1
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
"distributed.net client = C:WINDOWSSYSTEMDNETC.EXE -hide -install " <- 삭제
V3Pro 2000 Deluxe 사용자인 경우
1. 바탕화면에서 '시작' -> '실행' -> regedit를 입력해서 실행한 후에 다음의 키를 찾아 삭제하고 시스템을 재부팅한다.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
"bymer.scanner = c:WINDOWSSYSTEMWININIT.EXE" <- 삭제
1-1.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
"distributed.net client = C:WINDOWSSYSTEMDNETC.EXE -hide -install " <- 삭제
2. 최신 날짜의 엔진으로 업데이트 한다.
(엔진 업데이트시 반드시 '패치파일' 부분까지 체크를 하고 업데이트 한다.)
3. V3Pro 2000 Deluxe를 실행해서 '수동 검사'를 선택한후 검사할 하드 디스크를 지정한뒤 '검사시작'를 단추를 눌러 검사를 시작한다.
4. 바이러스 검사중 WININIT.EXE 파일이 진단이 되면 안내되는 메시지에 따라 '전체 치료목록'을 선택후 웜 파일을 삭제한다.
5.윈도우 시스템 폴더에 존재하는 다음의 파일을 찾아 삭제한다.
단, 파일이 모두 존재하지 않을 수도 있다.
c:windowswininit.exe 파일은 윈도우에서 사용하는 정상 파일이므로 삭제하면 안된다.
WININIT.INI
DNETC.EXE
DNETC.INI
참고로 DNETC.EXE 파일은 웜이 생성한 파일이나 정상적인 프로그램으로 V3에서는 진단되지 않는다. 사용자가 직접 삭제한다.
* 웜 삭제후 윈도우 부팅시 'wininit.exe 파일을 찾을 수 없다' 라는 도스창이 실행되는 경우 *
1. Windowswin.ini 파일은 적당한 편집기로 오픈한다.
2. [windows] 섹션에 load= 부분이나 run= 부분을 확인하여c:windowssystemwininit.exe 라는 라인을 삭제한다.
3. win.ini 파일을 저장후 재부팅 한다.
참고사항 치료 전 주의 사항
I-Worm/Wininit는 인터넷에 연결된 PC 중 랜덤하게 IP 주소를 검 검색하여 C 드라이브가 (쓰기)공유된 불특정 다수의 PC를 대상으로 감염시키므로 C 드라이브가 (쓰기)공유된 사용자는 누구라도 감염될 수가 있다. 웜에 감염되면 시스템이 매우 느려지고 네트워크 트래픽을 증가시켜 네트워크 환경이 매우 느려지는 현상이 발생한다.
따라서 아래와 같이 조치하시기전 C 드라이브가 공유되어 있다면 반드시 공유를 해제후 치료한다. 공유를 해제하지 않는다면 삭제후 재감염될 위험이 있다.
웜은 다른 파일을 감염시키지 않으므로 V3에서 진단된 파일만 삭제하면 된다.
I-Worm/Wininit은 TROJ_BYMER 등으로 불리는 웜으로 러시아에서 제작된것으로 추정되며 2000년 10월초 발견되었다.
웜이 실행되면 임의의 IP 주소로 C 드라이브가 공유된 컴퓨터를 찾아서 감염시키며, 감염된 컴퓨터는 네트워크 속도가 매우 느려져서, 컴퓨터가 다운 된것처럼 보일 수도 있다.
감염된 컴퓨터는 윈도우 시스템 폴더 ( 일반적으로 C:WindowsSystem )에 WININIT.EXE( 220672 바이트 )가 생성된다. 단, 윈도우 폴더의 WININIT.EXE 파일은 정상적인 파일이므로 삭제해선 안된다. 이 파일은 대략 4만 바이트의 크기를 가지고 있다.
레지스트에 다음 항목이 추가 되어 윈도우 부팅시 자동으로 웜이 실행되도록 한다.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun 항목에 "bymer.scanner = c:WINDOWSSYSTEMWININIT.EXE"
다음의 파일들 역시 윈도우 시스템폴더에 생성된다.
DNETC.EXE
DNETC.INI
WININIT.INI
웜은 DNETC.EXE -hide -install 항목을 실행 하며, 레지스트리의 항목에 다음이 추가 된다. 주 : DNETC.EXE 파일은 정상 유틸리티로 V3에선 진단하지 않는다.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices 항목에 "distributed.net client = C:WINDOWSSYSTEMDNETC.EXE -hide"
네트웍에 연결된 많은 컴퓨터가 C 드라이브 전체를 읽기/쓰기 공유 상태로 사용하는데 이는 보안상 매우 위험한 일이며 이 웜뿐 아니라 유사 웜에도 쉽게 감염 될 수 있다. 실제 이 웜에 감염된 컴퓨터는 유사하게 퍼지는 VBS/Netlog나 I-Worm/Qaz에도
감염된 경우가 많았다.
치료방법 V3+ Neo 및 V3Pro 98 사용자인 경우
1. 최신버전의 V3+ Neo를 다운로드 받아 도스모드로 부팅한 후 웜을 삭제한다.
※참고로 도스모드는 컴퓨터 부팅시 "StartingWindows95/98"이라는 메시지가 출력될
때 키를 눌러 "Command Prompt Only Mode" 메뉴로 부팅하시거나, 윈도우의 시스템 종료시 "MS-DOS 모드에서 시스템 다시 시작"로 나갈 수 있다.
2. 도스모드로 부팅이 되었다면 (빠져나왔다면) V3+ Neo를 다운로드 받아 압축을 해제한 폴더로 이동한후 검사를 시작한다.
예) CD V3 <- V3라는 폴더에 있는 경우
예) V3 C: <- C 드라이브를 검사하라는 명령
다음의 파일이 windowssystem 폴더에서 진단된다면 삭제한다.
WININIT.EXE
단, c:windowswininit.exe 파일은 윈도우에서 사용하는 정상 파일이므로 삭제하면 안된다.
또한 윈도우 시스템 폴더에 있는 다음과 같은 파일을 삭제한다.
예) cd windowssystem <- 해당 폴더로 이동
WININIT.INI
DNETC.EXE
DNETC.INI
참고로 DNETC.EXE 파일은 웜이 생성한 파일이나 정상적인 프로그램으로 V3에서는 진단되지 않는다. 사용자가 직접 삭제한다.
3. 윈도우 재부팅후에 바탕화면에서 '시작' -> '실행'-> regedit를 입력해서 실행한 후에 다음의 키를 찾아 삭제한다. (V3Pro 2000 Deluxe 사용자 공통)
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
"bymer.scanner = c:WINDOWSSYSTEMWININIT.EXE" <- 삭제
3-1
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
"distributed.net client = C:WINDOWSSYSTEMDNETC.EXE -hide -install " <- 삭제
V3Pro 2000 Deluxe 사용자인 경우
1. 바탕화면에서 '시작' -> '실행' -> regedit를 입력해서 실행한 후에 다음의 키를 찾아 삭제하고 시스템을 재부팅한다.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
"bymer.scanner = c:WINDOWSSYSTEMWININIT.EXE" <- 삭제
1-1.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
"distributed.net client = C:WINDOWSSYSTEMDNETC.EXE -hide -install " <- 삭제
2. 최신 날짜의 엔진으로 업데이트 한다.
(엔진 업데이트시 반드시 '패치파일' 부분까지 체크를 하고 업데이트 한다.)
3. V3Pro 2000 Deluxe를 실행해서 '수동 검사'를 선택한후 검사할 하드 디스크를 지정한뒤 '검사시작'를 단추를 눌러 검사를 시작한다.
4. 바이러스 검사중 WININIT.EXE 파일이 진단이 되면 안내되는 메시지에 따라 '전체 치료목록'을 선택후 웜 파일을 삭제한다.
5.윈도우 시스템 폴더에 존재하는 다음의 파일을 찾아 삭제한다.
단, 파일이 모두 존재하지 않을 수도 있다.
c:windowswininit.exe 파일은 윈도우에서 사용하는 정상 파일이므로 삭제하면 안된다.
WININIT.INI
DNETC.EXE
DNETC.INI
참고로 DNETC.EXE 파일은 웜이 생성한 파일이나 정상적인 프로그램으로 V3에서는 진단되지 않는다. 사용자가 직접 삭제한다.
* 웜 삭제후 윈도우 부팅시 'wininit.exe 파일을 찾을 수 없다' 라는 도스창이 실행되는 경우 *
1. Windowswin.ini 파일은 적당한 편집기로 오픈한다.
2. [windows] 섹션에 load= 부분이나 run= 부분을 확인하여c:windowssystemwininit.exe 라는 라인을 삭제한다.
3. win.ini 파일을 저장후 재부팅 한다.
참고사항 치료 전 주의 사항
I-Worm/Wininit는 인터넷에 연결된 PC 중 랜덤하게 IP 주소를 검 검색하여 C 드라이브가 (쓰기)공유된 불특정 다수의 PC를 대상으로 감염시키므로 C 드라이브가 (쓰기)공유된 사용자는 누구라도 감염될 수가 있다. 웜에 감염되면 시스템이 매우 느려지고 네트워크 트래픽을 증가시켜 네트워크 환경이 매우 느려지는 현상이 발생한다.
따라서 아래와 같이 조치하시기전 C 드라이브가 공유되어 있다면 반드시 공유를 해제후 치료한다. 공유를 해제하지 않는다면 삭제후 재감염될 위험이 있다.
웜은 다른 파일을 감염시키지 않으므로 V3에서 진단된 파일만 삭제하면 된다.