[보안뉴스=BLACKGUEST] 새로운 악성 트로이목마 변종인 ‘Trojan_ServStart.PF’가 중국 컴퓨터바이러스응급처리센터에서 발견됐다.

이번에 발견된 변종 악성프로그램은 감염된 이용자 PC의 운영체제를 시스템목록에 복사하고, 실행 파일로 이름을 바꾼다. 이름은 랜덤으로 생성된다. 이후 감염된 이용자 PC 운영체제의 서비스 제어 관리자를 열어 자동으로 작동되는 프로세스 서비스를 생성하게 된다.

이와 동시에 변종 악성프로그램은 감염된 운영체제의 캐시목록을 얻어 바이러스 파일을 로그 파일로 이름을 바꾼 뒤 재부팅하면 삭제되도록 설정한다.

또한 감염된 이용자 PC의 컴퓨터 이름, 운영체제 버전, 프로세서 유형, 메모리 크기 등과 같은 운영체제관련 정보를 탈취해 곧바로 공격자가 지정한 컴퓨터로 전송한다. 이후 감염된 운영체제는 공격자의 컴퓨터에서 원격으로 악성코드 명령을 받아 실행한다.

그 밖에 이 변종은 감염된 이용자 PC의 운영체제가 인터넷에서 지정한 웹서버에 액세스해 연결시킨 후 다른 트로이목마, 바이러스 등 악성프로그램을 다운받도록 한다.

중국 컴퓨터바이러스응급처리센터에서는 즉시 변종 악성프로그램에 감염된 컴퓨터 사용자들을 중심으로 시스템의 안티 바이러스 프로그램을 업그레이드하고 전면적인 바이러스 검사를 당부했다.

아직 감염되지 않은 사용자들에게는 시스템에서 안티 바이러스 프로그램의 ‘실시간 감시’ 기능을 켜고, 레지스트리, 시스템 프로세스, 메모리, 네트워크 등 여러 측면에서 정밀한 점검이 필요하다고 강조했다.

[출처: 차이나바이트(http://sec.chinabyte.com/)]