13일, 지오트 관계자는 자사 바이러스 분석실(GCERT)로 “Virus.Win32.Muce.a 바이러스 감염 신고가 접수됐다”고 밝혔다. Virus.Win32.Muce.a 바이러스는 프랑스에서 제작된 것으로 추정되는 윈도우 바이러스로 2004년도 경에 외국에서 일부 감염 사례가 있는 컴퓨터 바이러스이며, 국내의 감염보고는 이번이 처음이다.

관계자는 “Virus.Win32.Muce.a[Kaspersky], W32.Rile[Symantec], W32/Puce-B[Sophos], W32/Puce[McAfee] 등으로 일부 백신에서 진단된다. 감염파일에 8개의 Section 을 생성하고, 실행된 로컬 하드디스크(C - Z)의 실행파일(EXE)을 찾아 감염시도를 한다”고 설명했다.

감염된 파일의 크기는 모두 동일(636,416 바이트)하며 감염된 파일이 실행되면, Temp 폴더에 감염 이전의 파일을 생성하고 감염파일과 동시에 실행한다. 따라서 감염된 상태에서 실행된 경우 감염 이전상태의 파일은 Temp 폴더에서 확인이 가능하다.

기생형 파일 바이러스로 Borland C++ 로 제작되었으며, pUcE 라는 뮤텍스를 생성한다. 한글 윈도우XP(테스트)의 경우에는 오류가 발생하여 바이러스 감염파일이 자동 종료되는 경우가 발생한다.

또한 경우에 따라 아래와 같은 폴더를 생성하기도 한다.

C:\Documents and Settings\Administrator\Application Data\MSN6

파일이 가지고 있던 원래 아이콘 리소스중에 하나로 변경한다.(Icon Entry - 1 - 1024/1036) 따라서 감염된 파일은 아이콘 모양이 변경된다.

예를 들면 노트패드의 경우 감염되면 아이콘 리소스가 변경된다. 공유된 네트워크 폴더가 있을 경우에 감염시도를 한다.

Virus.Win32.Muce.b 변형의 경우는 내부에 Virus.Win32.Muce.a 를 포함하고 있으며, 1월, 4월, 7월, 10월 26일에 바이러스가 실행될 경우 마우스 커서가 약 2초 간격으로 임의로 움직여서 사용자가 마우스를 정상적으로 사용하지 못하도록 방해한다.

감염 된 경우라도 감염 이전의 호스트 파일이 가지고 있던 속성과 날짜를 유지한다. 바이러스 코드는 아래와 같은 내용를 가지고 있기도 하다.

File Version: 1.0.0.0

Comments: Enjoy !

Company: pUcE Software

Language: French (France)

Product Name: pUcE

Product Version: 1.0.0.0

현재 원형과 변종 모두 유니큐어에서 진단(삭제)이 가능한 상태이다. 신종이기 때문에 치료 기능은 추가적으로 업데이트에 포함될 수 있도록 진행될 예정이다.

[길민권 기자(is21@infothe.com)]

          <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>