1. 개요
[1]UR NEXT[2]
FlyTech가 만든 파일형 악성코드.[3] '000'은 해당 파일의 이름이다.
다른 바이러스처럼 사용자 정보를 탈취하진 않기 때문에 조크 프로그램으로 생각하기 십상이다. 그러나 이 프로그램은 사용자 컴퓨터에 깔려 있는 모든 UWP 앱을 삭제하고, 바탕 화면의 모든 파일을 삭제한다. 절대 실행하지 말 것. 용량도 66.6MB로 의미심장하다.
2. 실행하면
000.exe를 실행하면 약 15초 동안 거리 동영상[4]이 재생되고 컴퓨터가 재시작된다.무슨 일이 일어나냐면...
- 사용자 이름이 UR NEXT로 변경된다.[5]
- 작업 관리자가 비활성화된다.
- 바탕 화면이 검은색으로 변하며, 400개의 'UR NEXT' TXT 파일[6], 한 개의 'OPEN ME' RTF 파일이 생성된다. 이 RTF 파일은 28개의 텍스트 파일이 생성된 후 29번째에 생성된다.
- Windows 8, 10의 경우 Metro/UWP 앱이 삭제된다.
- 잠시 후 'run away' 대화 상자가 도배된다.
2.1. OPEN ME
내용은 이러하다.YOU ARE THE NEXT
다음은 네 차례야
I CAN SEE YOU
네가 보여
NOW IT'S TOO LATE
이젠 너무 늦었어
I GOT YOU......
잡았다......
YOU HAVE BEEN WARNED
난 경고했어
DON'T LOOK BEHIND YOU
뒤를 돌아보지 마
다음은 네 차례야
I CAN SEE YOU
네가 보여
NOW IT'S TOO LATE
이젠 너무 늦었어
I GOT YOU......
잡았다......
YOU HAVE BEEN WARNED
난 경고했어
DON'T LOOK BEHIND YOU
뒤를 돌아보지 마
3. 제거하는 법
안전 모드로 부팅해서 시작 프로그램 폴더[7]에서 000과 관련된 파일을 모두 삭제하고 TXT 파일의 아이콘을 원래 아이콘으로 바꾼다.[8]그 후 작업 관리자를 다시 활성화해주면 된다. 활성화하는 방법은 명령 프롬프트를 관리자 권한으로 실행하고 아래와 같이 입력해주면 된다.
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f |
하지만 무엇보다 가장 확실한 방법은 그냥 윈도우를 포맷하는 것이다. 이미 UWP 앱들은 다 삭제돼서 사용할 수 없다. 그리고 바이러스는 한 번 걸리면 그냥 포맷하는 게 속편하다.
choda100이라는 사람의 영상을 보면 쉽다.
4. 여담
- 이 바이러스의 이름이 000인 이유는 000.exe를 메모장에 드래그하면 알 수 있다. 조금 내려가면 0이 도배되어 있다.
[1] 영상의 마지막 부분에 여성의 비명 소리가 크게 나오니 소리를 줄이고 볼것.[2] 굳이 한국어로 하자면 "담은 너야" 정도.[3] 정확히 말하면 트로이 목마이다.[4] 저승을 의미한다고 한다...[5] 혹여나 모르는 사람이 있을텐데, UR은 You're을 줄인거다. 알파벳 이름으로 불러도 똑같이 '유알'이다.[6] 텍스트(TXT) 파일의 아이콘이 빨간색 'UR NEXT' 아이콘으로 대체된다.[7]
%HOMEPATH%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
[8] 이건 원래 SHELL32.dll 파일을 다운로드 받아서 교체해야 된다.