악성코드 감염시 좀비PC화돼 DDoS공격 시도하는 것으로 추정돼

[보안뉴스 김정완] 국내 모 신용카드 이용대금 명세서로 위장한 악성코드가 전파되고 있어 사용자들의 각별한 주의가 요구된다. 특히 이 악성코드에 감염된 PC는 좀비PC화돼 DDoS공격을 시도하고 있는 것으로 추정되고 있다.

이에 잉카인터넷 엔프로텍트에서는 이를 확산도가 높은 것으로 파악해 현재 긴급경보 ‘위험 4단계’를 발령하고 있다.

잉카인터넷에 따르면, 이 이메일은 ‘ＸＸ카드 2010년06월20일 이용대금명세서입니다?’란 제목으로 특정 네이버 이메일의 발신자가 보낸 것으로, 이메일 본문에 포함된 ‘이용대금 명세서 보기’를 클릭하면 새로운 사이트로 연결돼 마치 잉카인터넷의 엔프로텍트(nProtect) 키보드 보안프로그램 키크립트(KeyCrypt)처럼 위장한 ‘케이프로텍트(KProtect)’라는 가짜 키보드 보안 프로그램의 추가 기능을 요구한다. 그리고 허위 인증요청 화면을 보여주며, 일부 콘텐츠 설치를 유도한다.

그렇게 해당 액티브X 컨트롤 파일이 설치되면 몇 가지 파일이 생성되고, 특정 사이트로 지속적으로 접속을 시도하는데 이러한 시도가 많아지면 DDoS공격이 될 수 있다는 것이 잉카인터넷 측의 설명이다.

현재 잉카인터넷은 일부 접속을 시도하는 사이트로 ‘네이버’로 파악하고 있으며, 네이버 일부 사이트들에서 ‘스택 오버플로(Stack overflow)’ 창이 나타나고 있는 것을 확인했다. 다만, 이러한 창은 해당 사이트에 IP로 접속 시에 나타난다.

 

▲네이버 만화 사이트에 IP 주소로 접속 시 23일 14시 15분 현재 ‘스택 오버플로’ 창이 나타난 캡쳐사진. ＠보안뉴스.

 

스택 오버플로란 보안 취약점들이 공격하는 웜바이러스, 트로이잔 등이 악용하는 버퍼 오버플로(Buffer Overflow) 취약점의 한 형태로 이 공격은 시스템의 메모리 공간 중 스택 영역의 값을 조작하는 공격 기법으로 사용된다.

이에 NHN 관계자는 “체크해보고 있는 상황인데, 영향이 있는 지를 파악하고 있는 단계”이지만 “현재로써는 트래픽양이 평상보다 크게 늘거나 하는 상황은 아니다”고 밝혔다.

또한 이와 관련 문종현 잉카인터넷 시큐리티 대응센터 대응팀장은 “이런 현상은 사용자 인터넷 망에 따라서 다르기 때문에 나타나는 것 같다”고 설명하고 “현재 수집한 악성코드를 분석 중이며, 추가적인 내용이 나오면 계속해서 갱신해 사용자들에게 알릴 예정”이라고 밝혔다.

한편 엔프로텍트 안티바이러스 제품에서는 긴급업데이트를 통해서 해당 악성코드를 모두 치료할 수 있도록 하고 있다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>