“PC 사용, 무조건 감염되는 것 아니지만 변종 감염 주의해야”

▲이 악성코드는 이동형 저장매체(USB 드라이브 등)가 사용하는 Autorun.inf 자동삽입실행 등을 통해서도 자동 확산 시도를 하는데, 생성되는 오토런 파일은 Anti-Virus 제품 등을 우회하기 위해서 위와 같이 난독화된 내용으로 사용되기도 한다. 또한 Rundll32.exe 프로그램을 이용해서 jwgkvsq.vmx 라는 DLL 형식의 악성코드를 실행시켜 주는 Shell Execute 명령을 포함하고 있다.
일명 ‘만우절 바이러스’로 알려진 이 악성코드는 4월 1일에 컴퓨터를 사용하면 무조건 감염되는 것은 아니므로 잘못된 오해를 하지 않는 것이 바람직하며, 개인 및 기업 모두 이번 악성코드에 감염되어 피해를 입지 않도록 개인 보안 수칙을 준수해 사전에 악성코드에 감염될 수 있는 조건을 최소화하는 노력이 필요하다.

2008년 10월 말경부터 보고되고 있는 이 악성코드는 Kido, Conficker, Downadup, Shadow, MS08-067 Worm 등 다양한 명칭을 가지고 있으며, 대표적으로 접속을 시도했던 도메인 명에서 유래된 이름인 Conficker로 널리 알려져 있다.

최근에 발견된 악성코드들은 여러 Anti-Virus 제품들에서 탐지가 이루어지고 있지만, 변종들이 지속적으로 발견되고 있다.

이에 문종현 잉카인터넷 시큐리티대응센터 팀장은 “특히 ‘만우절’인 2009년 4월 1일(이후)에 새로운 변종을 다운로드해 추가 감염을 시도하는 형태 등이 발견됨에 따라 컴퓨터 사용자들의 주의가 필요하다”며 “임의의 문자열로 생성된 500개의 도메인에 대한 접속시도와 P2P 네트워크 형성 등을 통해서 또 다른 변종 설치를 시도할 것으로 보여진다”고 설명했다.

또한 문종현 팀장은 “이러한 악성코드에 감염되지 않기 위해서는 최신 윈도우 OS 보안패치가 설치돼 있어야 하며, 윈도우 로그인 계정의 암호를 추측하지 못하게 복잡하게 설정하는 한편 네트워크 공유폴더는 읽기 권한만 사용하도록 하는 것이 좋다”고 조언했다.

이 악성코드가 사용하는 보안취약점은 MS08-067이며, 네트워크 취약점을 통해서 확산시도하기 때문에 최신 윈도우 업데이트를 설치하는 것이 무엇보다 중요하다.
그외 여러 보안업체들의 인터넷 홈페이지의 접근(Anti-Virus Pattern Update 등)을 차단하기 위해 특정 문자열이 포함된 웹 사이트 접속을 방해하는 기능도 존재하며, 악성코드 파일 자신을 숨기거나 삭제하지 못하게 하는 등의 자체 보호기법을 사용하기도 한다.

이 악성코드에 기업 등 네트워크 망에 감염된 컴퓨터가 존재할 경우 지속적인 확산시도와 변종 재유입 등을 통해서 네트워크에 과도한 트래픽이 유발되어 컴퓨터 속도 등이 현저히 느려져 정상적인 기업 활동에 피해가 발생할 수 있다.

한편 잉카인터넷 nProtect Anti-Virus 제품에서는 지속적으로 변종 악성코드를 수집하여 수시로 업데이트하고 있으며, 홈페이지(http://www.nprotect.com/v6/data/index.php?mode=vs_down_view&no=273)를 통해 전용백신을 무료로 배포하고 있다.

컴퓨터 사용자들은 최신 윈도우 보안패치와 기본 보안 규칙을 준수하도록 하며, 가장 최근 Anti-Virus 업데이트 제품의 실시간 감시를 통해서 악성코드에 감염되지 않도록 각별히 주의해야 하겠다.
[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>