중국보안 전문기업 CN시큐리티는 “구정을 앞두고 중국에서 이 바이러스에 대해 특별히 주의를 기울이고 있다. 국내에서도 구정을 맞아 조심해야 한다. ‘IRCBot스파이’변종HL(Win32.Troj.IRCBot.hl)과 ‘ArmanWorm’변종E(Worm.Arman.e), ‘IRCBot스파이’변종HL(Win32.Troj.IRCBot.hl) 등은 IRC서버를 이용하는 백도어 해킹 프로그램”이라고 밝혔다. 

‘ArmanWorm’변종E(Worm.Arman.e)는 메일을 통해 전파되는 Worm바이러스라고 한다. 이들 바이러스에 대해 좀더 자세히 알아보도록 하겠다.

우선 ‘IRCBot스파이’변종HL(Win32.Troj.IRCBot.hl)은 자동으로 IRC서버의 6667포트로 연결되며 해커로 하여금 완전히 사용자컴퓨터의 모든 기능을 접수하게 만들어 사용자의 컴퓨터의 시스템에 심각한 위협을 가져 다 줄 수 있다.

이 바이러스는 실행된 다음 자신을 msgfix.exe 바이러스 파일에 copy한다. 그와 동시에 레지스트리를 수정하여 컴퓨터와 같이 자동 부팅되도록 한다. 이외에도 자동으로 IRC서버의 6667포트로 연결되어 해커의 명령을 기다리기도 한다.

‘ArmanWorm’변종E(Worm.Arman.e)는 감염된 컴퓨터상의 메일 주소를 검색하여 유혹적인 제목과 내용으로 자신을 발송한다. 대량의 스팸메일로 발송되며 사용자 컴퓨터의 속도가 극히 느려지고 네트워크 속도를 크게 점유하여 심지어 붕괴하게 만들기도 한다.

이 바이러스는 실행된 다음 사기성의 Dialog창을 띄워 사용자 자신의 실행이 실패 하였다고 알려준다. 그와 동시에 inetexplore.exe등 여러 바이러스 파일을 뿌리고 레지스트리를 수정하여 컴퓨터가 시작될 때 자동으로 시작되게 만든다. 이 외에도 사용자 컴퓨터상에서 유효한 메일주소를 검색하여 ‘Actors Sexy Pictures’를 제목으로 한 바이러스를 발송하는 것이 특징이다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>