날짜 2001년도로 변경...금융ㆍ게임 사이트 등 비상

온라인 게임 사용자 계정 도용 위한 목적으로 제작

잉카인터넷은 “4월 10일부터 시스템 날짜를 2001년도로 변경하는 트로이목마의 피해가 자사의 시큐리티대응센터에 다수 접수되고 있어, 인터넷 사용자들의 각별한 주의가 요구된다”고 밝혔다.

이 트로이목마는 clocks.exe라는 파일명으로 실행되며, 감염되면 아래와 같은 파일을 설치하고, 시스템 날짜를 2001년도로 변경한다.

C:\WINDOWS\clocks.exe

C:\WINDOWS\system32\clocks.dll

C:\WINDOWS\system32\drivers\clocks.exe

시스템 날짜의 변경으로 인하여 일부 프로그램의 통신 오작동(서버 검증 오류)이 발생하는 피해 사례가 접수된 상태이며, 국내외 유명 보안제품의 사용을 방해하는 기능도 가지고 있는 것으로 분석됐다.

 

<트로이목마에 의해 변경된 시스템 날짜 화면>

특히 특정 보안제품의 프로그램을 종료하거나 동일 파일명으로 위장한 트로이목마를 추가로 다운로드 하여 교체하기 때문에 온라인 게임, 금융 사이트 등을 접속할 경우 여러가지 오류현상이 나타날 수 있으며, 보안프로그램 또한 정상적으로 작동되지 않을 수 있다.

 

<시스템 날짜변경으로 인한 오류 화면>

이 트로이목마는 폴더옵션을 변경하여 자신을 숨기며, 다양한 방식을 이용해서 변종을 설치하거나 외부 저장매체(USB 드라이브) 등을 이용하여 확산하기도 한다.

 

<보안프로그램의 오류 메시지 창>

잉카인터넷 시큐리티대응센터 관계자는 “확인 결과, 이 트로이목마는 국산 온라인 게임 사용자의 계정을 도용하기 위한 목적으로 제작되었으며, 변조된 국내 웹 사이트를 통해서 다량 유포되고 있는 것으로 추정된다.

 

현재 잉카인터넷의 온라인 PC보안 제품들을 긴급히 업데이트 했으며, 당사의 닷컴사이트(www.nprotect.com)를 통해서 치료 프로그램을 배포하고 있다”고 밝혔다.

이 트로이목마에 감염된 사용자의 경우엔, 치료를 한 후 반드시 컴퓨터의 시스템 날짜를 정상적으로 복구해 주는 것이 필요하다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>