000

 

1. 개요
2. 실행하면
2.1. OPEN ME
3. 제거하는 법


1. 개요


'''UR NEXT'''

FlyTech가 만든 컴퓨터 바이러스. '000'은 바이러스 프로그램의 이름이다.
물론 다른 바이러스처럼 사용자 정보를 탈취하진 않기 때문에 조크 프로그램으로 생각하기 십상이다. 그러나 이 프로그램은 '''사용자 컴퓨터에 깔려 있는 모든 UWP 앱을 삭제'''하고, '''바탕화면의 모든 파일을 삭제'''한다. 절대 실행하지 말 것.

2. 실행하면

000.exe를 실행하면 약 15초 동안 거리 동영상이 재생되고 컴퓨터가 재시작된다.
뭐가 일어나냐면...
  • 사용자 이름이 UR NEXT로 변경된다.
  • 작업 관리자가 비활성화된다.
  • 바탕화면이 검정색으로 변하며, 400개의 'UR NEXT' TXT 파일[1], 한 개의 'OPEN ME' RTF 파일이 생성된다. 이 RTF 파일은 28개의 텍스트 파일이 생성된 후 29번째에 생성된다.
  • Windows 8, 10의 경우 Metro/UWP 앱이 삭제된다.
  • 잠시 후 'run away' 대화 상자가 도배된다.

2.1. OPEN ME

내용은 이러하다.

'''YOU ARE THE NEXT'''

네가 다음 차례야

'''I CAN SEE YOU'''

난 너를 볼 수 있어

'''NOW IT'S TOO LATE'''

이젠 너무 늦었어

'''I GOT YOU......'''

난 널 잡았어......

'''YOU HAVE BEEN WARNED'''

넌 경고받았었어

'''DON'T LOOK BEHIND YOU'''

뒤를 돌아보지 마


3. 제거하는 법

안전 모드로 부팅해서 시작 프로그램 폴더[2]에서 000과 관련된 파일을 모두 삭제하고 TXT 파일의 아이콘을 원래 아이콘으로 바꾼다.[3]
그 후 작업 관리자를 다시 활성화해주면 된다. 활성화하는 방법은 명령 프롬프트를 관리자 권한으로 실행하고
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

를 입력해주면 된다.
하지만 무엇보다 가장 확실한 방법은 그냥 윈도우를 포맷하는 것이다. 이미 UWP 앱들은 다 삭제돼서 사용할 수 없다. 그리고 바이러스는 한 번 걸리면 그냥 포맷하는 게 속편하다.

[1] [image]텍스트(TXT) 파일의 아이콘이 빨간색 'UR NEXT' 아이콘으로 대체된다.[2] 
%HOMEPATH%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
[3] 이건 원래 SHELL32.dll 파일을 다운로드 받아서 교체해야 된다.

분류