| 네티즌을 통해 공포감 조성한 2090 바이러스의 확산 | 2009.06.15 |
윈도우 보안 취약점을 통한 바이러스 집중탐구
2009년형 신종 바이러스 탄생 배경 및 대응 방법 제시 바이러스는 언제나 그렇듯이 취약점을 통해 사용자 PC에 쉽게 침투 한다. 지난 2008년 11월 새롭게 등장하여 MS08-067 취약점을 통해 전 세계적으로 큰 이슈를 몰고 온 신종 악성코드인 Conficker 바이러스 역시 MS 윈도우 보안 취약점을 통해 시작되었다. MS 윈도우의 취약점이 공개되면서부터 다양한 바이러스가 생성되고 있으며 이와 관련한 바이러스가 전 세계적으로 확산 중이다. 이 바이러스는 지금도 무수히 많은 변종을 일으키고 있어 사용자들의 각별한 주의가 요구되고 있다.
2090바이러스는 해당 바이러스로 인해 피해를 입은 사용자들이 바이러스 감염에 대한 증상 및 치료방법을 인터넷 포털 사이트 내의 지식iN(Q&A), 블로그, 카페/클럽 등을 통해 게재하면서, 관련정보는 네티즌을 통해 빠르게 공유되었다. 그러나 2090 바이러스의 확산 방법 및 이에 대한 감염 피해자들의 적절하지 못한 대응 방법 등으로 네티즌들의 공포감은 더욱 가중되었다. 비전문가에 의한 검증되지 않은 내용이 네티즌 사이에서 공유· 전파되기 시작하면서 네티즌들의 관심이 증폭하자 언론사들도 앞다투어 관련 내용의 기사를 보도하기 시작했다. 2090 바이러스의 감염 시 나타나는 증상
2090 바이러스는 시스템에 침투하면 가장 먼저 IRC 채널에 접속을 시도하며, 악성코드의 명령을 받아 MS08-067 취약점을 이용하여 TCP 445 포트를 스캔 한다. 이때 대상 시스템에 취약점이 존재하면 익스플로이트(exploit)코드를 전송하여 시스템을 감염시킨다. 이와 함께 445 포트를 이용하여 Packet type에 Request(0)를 입력하고 Operation에 NetPathCanonicalize(31) 입력을 통해 공격을 시작한다. 동일 네트워크에 존재하는 시스템에 Arp와 Ping 패킷을 보내고 445포트를 이용한 취약점 스캔을 하기 때문에 네트워크에 과부하를 초래하기도 한다. 그림 2와 그림 3과 같이 네트워크 패킷으로도 확인이 가능하다. 또 시스템 날짜가 2090년 1월 1일로 변경된 감염시스템이 악성코드로 인해 다운된 후 강제로 재부팅을 하면 일부 시스템에서 윈도우의 사용자 계정에 접근하지 못하고 로그오프가 자동으로 되어 정상적인 시스템을 사용할 수 없게 된다. 이 때 발생하는 무한 로그오프가 되는 증상은 Winlogon 레지스트리에서 Userinit값의 데이터가 삭제되었기 때문이다. Userinit 레지스트리 정보는 다음과 같다.
이렇게 2090 바이러스에 의해 공격당한 PC는 다음과 같이 “랜덤한 숫자.exe” 파일들을 생성한다. 다음과 같이 7자리 랜덤한 숫자를 가진 sys 또는 확장자가 없는 파일들을 생성한다.
2090 바이러스 확산방법에 따른 위협 대응 방법 2090 바이러스는 MS08-067 취약점, 네트워크 공유폴더와 USB와 같은 이동식 디스크 장치를 통해 전파된다. 다음과 같은 방법을 통해 대처할 수 있다.
시스템에 MS08-067 취약점 관련 보안패치가 설치되었는지 확인한 후 보안패치 미설치 시에는 설치한다. 보안 패치는 제어판의 프로그램 추가/제거에서 확인이 가능하다. 상단의 업데이트 표시 항목에 체크한다. MS08-067 보안 패치가 설치되어 있지 않는 경우 MS 홈페이지를 통해 보안 업데이트를 다운로드 받을 수 있다. ● Microsoft Update 홈페이지 사이트 주소 : http://update.microsoft.com ● 보안 업데이트 항목 찾기 : http://www.microsoft.com/korea/technet/security/bulletin/ms08-067.mspx 2. 네트워크 공유폴더를 관리한다. 필요하지 않는 네트워크 공유는 모두 해제하며 최소한의 네트워크 공유만을 유지한다. 그리고 네트워크 공유폴더에 패스워드를 설정하여 허용된 사용자만 접근이 가능하도록 한다. 단, 패스워드는 단순한 숫자나 쉬운 의미 있는 영어단어 또는 그들의 조합은 피해서 설정한다. 네트워크 공유를 통해 작업 시에는 백신의 실시간 감지기를 활성화 시킨다. 3. USB와 같은 이동식 디스크 장치를 시스템에 연결 시에는 자동실행설정을 변경한다.
또는 NoDriveTypeAutorun 레지스트리 설정값을 0xff로 변경한다. 해당 레지스트리 설정값을 0xff로 변경하면 USB와 같은 이동식 디스크 장치는 자동실행 기능이 실행되지 않는다. 자동실행으로 설정을 변경하고 싶으면 해당 설정값을 0x00으로 변경하면 된다.
이 외에도 자동실행을 차단하는 프로그램을 설치하는 방법이 있다. 국가정보원 국가사이버안전센터에서는 USB 메모리 감염 바이러스 실행차단을 위한 프로그램을 배포하고 있어, 국정원이 배포하는 [USB Guard]를 이용하면 USB의 자동실행을 차단할 수 있다. 단, 설정 이후부터는 자동 설치기능이 작동되지 않아 소프트웨어 설치 CD를 컴퓨터에 연결하면 수동으로 설치해야 하는 사용상의 불편함이 있다.
악성코드, 다형성을 늘리는 방향으로 진화 중 지금까지 연재를 통해 윈도우 보안 취약점을 이용한 바이러스에 대해 집중적으로 살펴봤다. 악성코드의 진화는 기술의 진보보다는 종의 다형성을 늘리는 것이다. 현재에도 MS08-067과 같은 ‘윈도우 보안 취약점을 이용한 바이러스’는, 악성코드에 악의적인 기능이 추가되어 빠른 속도로 진화해 가고 있다. 그렇기 때문에 PC 사용자 및 네티즌들에게는 전문가를 통한 대응방법의 충실한 이행이 더욱 요구되고 있는 실정이다. 이에 하우리와 같은 국내 보안업체들은 이런 악성코드의 진화에 따라 새로운 악성코드에 대응하기 위한 또 다른 대응방법이 추가되는 즉시 해당 내용을 홈페이지 및 보도자료, 이메일 등 여러 가지 방법을 통해 제공하고 있다. 지금까지 연재를 통해 살펴본 바와 같이 악의적인 사용자들은 일반적으로 전 세계 사용자들이 가장 많이 사용하는 운영체제와 응용프로그램의 취약점을 이용해 다른 사용자의 시스템에 침입을 반복적으로 시도 한다. 따라서 우리는 국내 및 해외 보안사이트에 정기적으로 방문하여 정보를 확인하고 일반적으로 사용하는 운영체제와 응용프로그램에 대한 취약점 또는 보안 패치가 있는지 늘 관심을 가져야 한다.
<글 : 황재훈 하우리 보안대응센터 바이러스팀 선임연구원(jhhwang@hauri.co.kr)> [월간 정보보호21c 통권 제105호 (info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
시스템의 날짜가 2090년 1월 1일 오전 10시로 변경되어 우리에게 더 잘 알려진 ‘2090 바이러스’는 ‘2070 바이러스’라는 변종 바이러스를 탄생시키기도 했다.
우선 시스템이 감염되면 가장 먼저 시스템 날짜가 2090년 1월 1일 오전 10시로 변경된다. 이 경우, 시스템 날짜를 체크하는 응용프로그램이나 서비스를 사용 시 감염 시스템에 의해 프로그램 오류나 정상적인 서비스를 받지 못하는 경우가 발생하게 된다.
악성코드에 감염되면 ‘userinit.exe’ 레지스트리에 등록되기 때문에 재부팅 후에도 실행되도록 되어있다. 이 경우 감염시스템에서 악성코드의 생성 및 실행 과정에서 메모리를 과다하게 사용하여 시스템이 다운된다. 
그밖에 이동식 디스크로 전파될 수 있도록 Autorun.inf 파일과 explorer.exe를 생성하며, 네트워크로 공유된 공유폴더를 통해서도 확산이 가능하다.
1. MS08-067 취약점을 통한 감염은 해당 보안패치를 찾아 설치하여야 한다.
첫 번째 방법은 이동식 디스크의 자동 인식 서비스를 중지상태로 설정하도록 한다. 
USB와 같은 이동식 디스크 장치를 시스템에 연결하여 작업 시, 백신의 실시간 감시기를 활성화하고 USB의 데이터를 사용하기 전에 바이러스 검사를 실시하여 컴퓨터의 무결성을 확보한 후 사용한다.
이와 함께 PC사용자는 PC를 안전하게 사용하기 위해 보안 업체가 제공하는 최신 업데이트를 항상 유지하는 것은 물론, 깨끗한 PC를 만들기 위한 사용자 스스로 노력을 아끼지 말아야 할 것이다.