부트영역 장악해 하드 먹통만들어... 백신 업체들 원격기능 있는지 분석 중


7일 발견된 DDoS 공격을 유발하는 악성코드에 이어 2차로 발견된 악성코드에는 사용자의 PC를 파괴하는 기능이 있는 것으로 파악된 가운데 악성코드 중 원격 공격 기능이 있는지에 대한 분석 작업이 시급히 이뤄지고 있다. 만약 원격 공격기능이 있다면, 감염된 PC는 공격자의 공격 시작 명령으로 하드디스크를 못 쓰게 만들 수 있기 때문이다.

2차로 발견된 악성코드 샘플 중 ‘wversion.exe (잉카 진단명 : Trojan/W32.Agent.36864.ADH)’파일은 사용자 PC의 하드디스크의 부트영역을 특정 ‘Memory of the Independence Day’라는 문구로 덮어쓰기 하는 기능을 포함하고 있다. 부트 영역은 하드디스크의 엑세스 정보를 저장하는 공간이기 때문에 이 영역이 침범 당하게 되면 하드디스크는 제구실을 못하게 된다. 만약 부트레코드를 복구한다고해도 자동으로 MS워드 등 문서파일을 암호화 시켜 이용할 수 없도록 하고 있어 치명적인 영향을 미치게 된다.

아직까지는 이 파일이 수동으로 실행했을 때만 작동하는 것으로 알려지고 있지만 다른 악성코드의 샘플이 완벽하게 분석된 것이 아니기 때문에 원격으로 작동할 수 있을 가능성도 배제할 수 없다는 것이 전문가들의 의견이다.

만약 원격으로 작동될 경우, 공격자의 공격 명령만으로 감염된 PC를 먹통으로 만들 수 있기 때문. 따라서 현재 여러 백신업체들은 이번 악성코드 샘플에서 해당 파일에 원격 작용을 일으키는 코드가 있는지 파악 중에 있다.

이번 2차 DDoS 악성코드가 사용자 PC에 큰 영향을 주는 것으로 파악됨에 따라, 전문가들은 인터넷을 이용하는 PC사용자라면 필수로 악성코드 검사를 실시해야한다고 이야기한다.

한국정보보호진흥원(KISA)의 한 담당자는 “악성코드의 확산은 더욱 막강한 DDoS 공격을 유발하고 있기 때무넹 악성코드의 확산은 결국 사용자들에게 큰 피해를 주게 될 것”이라며 “대형 피해가 줄을 잇는 만큼 유료백신이 없다면 무료백신이나 전용백신을 다운받아 사용자 PC에 악성코드가 있는지에 대한 검사를 꼭 해봐야 할 것”이라고 조언했다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>