신종바이러스,트로이목마 발견

안철수컴퓨터바이러스연구소(대표 안철수 www.ahnlab.com)는 사용자 정보

를 가로채는 신종 국산 컴퓨터바이러스인 '트로이목마'를 발견했다고 4일

발표했다.

이 프로그램은 지난 3일 한 PC통신망에 스타크래프트의 맵핵 방지용 프로그

램으로 위장해 올려졌다. 맵핵이란 스타크래프트 게임에서 숨겨진 상대방

의 움직임을 몰래 볼 수 있도록 지원해주는 프로그램.

프로그램명 '드로퍼/핫키즈후크(Dropper/HotKeysHook)'로 명명된 이 바이러

스는 위험등급 3등급으로, 4일 현재 안철수연구소 바이러스신고센터에 53건

의 신고가 접수됐다.

이 파일을 실행하면 윈도폴더

에 'TEMP#01.EXE', 'TEMP$01.EXE', 'SCANREGW.EXE' 등의 파일이 만들어지

며 컴퓨터를 재부팅하면 SCANREGW.EXE 파일이 자동 실행되면서 바이러스가

활동하기 시작한다.

이 때 윈도폴더에 설치된 파일 내용도 바뀌는데, 'TEMP#01.EXE' 파일의 경

우 'Win-Trojan/HotKeysHook'이란 트로이목마 바이러스로 바뀌어 키보드 작

동 내용을 가로챈다.

안연구소는 이 바이러스를 치료하기 위해서는 정상적인 SCANREGW.EXE파일

로 교체하거나 다음과 같은 방법을 사용해야 한다고 권하고 있다.

1. 지난 3일 업데이트된 V3로 검사해 'Win-Trojan/HotKeysHook.137501'이

진단되는지 검사한다.

2. C:\Windows 폴더에 TEMP$01.EXE이 있는지 확인한다.

3. C:\Windows 폴더에서 SCANREGW.EXE 파일을 삭제한다.

4. TEMP$01.EXE 파일의 이름을 SCANREGW.EXE로 변경한다.

5. 재부팅한다.

6. C:\Windows 폴더에서 TEMP#01.EXE나 TEMP$01.EXE을 삭제한다.