`님다` 바이러스 어떻게 치료 해야하나

　e메일과 웹사이트, 공유 네트워크 등 다양한 경로로 급속히 전파되는 님다(Nimda) 바이러스 피해가 확산되면서 이에 대한 백신과 대응 툴도 속속 출시되고 있다.

　이 바이러스에 감염될 경우 메일발송외의 특별한 파괴기능은 없으나 확장자가 ‘.htm’ ‘.html’ ‘.asp’인 모든 파일이 변경되며 IIS기능을 구동하는 웹서버를 무작위로 공격해 엄청난 네트워크 트래픽을 일으켜 시스템이 다운될 위험이 있다.

　이에 바이러스 백신업체들은 님다에 대한 빠른 분석을 통해 치료와 예방 백신을 바로 출시하고 이에 대한 각별한 주의를 촉구했다. 안철수연구소(대표 안철수 http://www.ahnlab.co.kr)는 님다 바이러스를 치료할 수 있도록 V3 엔진 업데이트를 완료해 웹사이트와 메일 등을 통해 제공하고 있다. 이 업데이트된 백신은 Win 9X, Win NT, Win 2K를 완벽하게 지원하며, 별도의 작업없이 감염된 파일을 삭제하고 드라이브가 자동으로 공유되도록 변경된 레지스트리를 수정해 공유를 해제함으로써 네트워크로의 확산을 차단해준다. 하우리(대표 권석철 http://www.hauri.co.kr)도 바이러스 백신 제품인 바이로봇 시리즈를 업데이트해 님다 바이러스 치료와 예방이 가능하도록 서비스중이다.

　이밖에 코코넛(대표 조석일 http://www.coconut.co.kr), 디지탈이지스(대표 노재일 http://www.aegis.co.kr), 어울림정보기술(대표 장문수 http://www.oullim.co.kr), 시큐브 등 정보보안 업체들도 님다를 완벽 차단할 수 있도록 고객 시스템을 업그레이드하거나 대응 툴을 제공하고 있다.

　코코넛은 님다에 대한 취약 여부를 검사해 취약점 발생시 자동패치를 실행하고, 감염됐을 경우 자동 치료 및 복구해주는 긴급대응 툴을 서비스한다. 어울림정보기술은 님다 발견시 관리자와 메일수신자에게 감염사실을 알려주고 메일전달을 차단하는 바이러스 필터링 기능을 자사 방화벽인 시큐어웍스파이어월에 업그레이드했다. 디지탈이지스 역시 홈페이지를 통해 님다에 대응할 수 있는 F시큐어 안티바이러스 시험판을 무료로 서비중이다.

　이밖에 감염된 시스템을 수동으로 치료할 경우 윈도 폴더에서 ‘System.ini’ 파일을 메모장으로 오픈한 후, 항목중 ‘Sell=explorer.exe load.exe-dontrunold’부분을 ‘Sell=explorer.exe’로 변경한다. 또 ‘C:￦Windows￦system￦load.exe’를 삭제하고, 공유돼 있는 폴더 모두 공유해제 또는 읽기권한으로만 공유한다. 이후 찾기 기능을 통해 확장자 ‘.eml’ 파일과 ‘readme.exe’파일을 모두 삭제한다.

　IIS서버 사용자는 감염된 시스템을 치료한 후 마이크로소프트사의 홈페이지를 통해 님다를 예방할 수 있는 패치를 설치해야 한다.

　<유병수기자 bjorn@etnews.co.kr>