바이러스와 트로이목마의 복합 공격 형태 많아져

중국, 새로운 형태의 바이러스 양산...유포중

악성코드 유포 형태가 다양하게 진화하고 있어, 이를 완전하게 차단하기가 더욱 어려워지고 있다. 특히 바이러스를 전파하는 방법과 트로이목마가 혼합된 퓨전 방식까지 동원되고 있어 이용자들의 PC안전이 더욱 위험한 상황이다.  

잉카인터넷 긴급대응팀 문종현 대리는 “그 동안 여러 바이러스 제작자들은 자신이 만든 악성 프로그램을 좀더 쉽고 빠르게 유포하기 위하여 다양한 기법들을 사용하여 왔다”며 “근래에는 웹 사이트 무단 변조와 보안 취약점을 이용하는 방식이 국내에서 가장 유행하고 있으며, 그 외 E-Mail 첨부파일 위장, 네트워크 보안 취약점 이용, 정상 프로그램 위장 등이 대표적으로 사용되고 있다”고 밝혔다.

또한 그는 “그런 와중에 2007년 3월 19일경 중국 특정 사이트를 통해서 새로운 바이러스가 유포되는 것이 발견되었는데 정상 파일을 감염시키는 후위 기생 형 바이러스 종류로 웹에 숨겨진 숙주 바이러스를 이용하여 감염시키는 기법과 다운로드 기능의 트로이목마가 Fusion 형태를 이루고 있다”고 강조했다.

해당 중국사이트는 풍운이라는 게임과 관련된 사이트로 운영되고 있으며, 메인 화면에는 중국에서 유명한 17173 사이트의 사진 자료가 링크되어 있기도 하지만 특별한 이상이 발견되지는 않았다.

하지만 메인 화면에는 특별한 Exploit Code가 발견되지는 않았지만, 이 사이트의 특정 하위 주소에서는 바이러스가 유포되고 있는 중이다.

문종현 대리는 “1.EXE라는 파일로 존재하는 이 바이러스는 실행이 되면 Temp폴더에 임의의 숫자 파일명으로 구성된 DLL파일이 생성되고, 시스템폴더에 logo_1.exe파일이 생성된다. DLL 파일은 일종의 다운로드 기능을 가진 트로이목마 형태와 정상파일에 기생하는 바이러스 코드 부분을 함께 포함하고 있다”고 설명했다.

여기서 Logo_1.exe파일은 웹 상에 존재하는 1.EXE 파일과 동일한 것으로 숙주 바이러스로 밝혀졌다.

이 바이러스는 웹에 존재하는 2.EXE라는 WOW(World Of War Craft)라는 이름의 온라인 게임계정 도용 목적의 트로이목마를 시스템폴더에 다른 이름으로 다운로드 하여 몰래 설치한다.

바이러스에 감염되면, 바이러스는 시스템에 존재하는 EXE 파일을 찾아 감염(크기 증가)시키며, 감염된 정상 프로그램이 실행되면 웹에 존재하는 숙주 바이러스를 다시 다운로드 하여 실행시키는 작동을 반복하게 된다.

보통의 파일 바이러스의 경우와 달리 웹 상에 숙주 본을 등록시켰기 때문에 감염되는 코드 자체를 다운로드 기능으로 국한시킬 수 있어 파일 증가 크기를 최소화 할 수 있으며, 웹 상에 존재하는 파일만 변형하면 쉽게 변형 바이러스를 유포할 수 있는 장점을 지니게 된다.

또한 바이러스는 레지스트리에 자신을 등록하여 매번 부팅 시 마다 자동실행 되도록 설정하는가 하면, 특정 보안제품으로부터 바이러스 자신을 보호하기 위해서 여러 가지 명령을 이용하고, 백신제품의 실행을 방해하는데 사용하기도 한다. 또한, 특정 프로그램의 프로세스와 클래스를 강제로 종료시키는 등 심각한 피해를 불러오고 있다.

잉카인터넷 긴급대응팀 문종현 대리는 “이처럼 중국에서는 다양한 형태의 바이러스가 출몰하고 있어 빠르고 신속한 보안제품이 요구되고 있으며, 인터넷 사용자들은 최신 보안프로그램 설치와 시스템 보안 패치를 최신으로 유지하는 것이 중요하다”고 강조했다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>