메신저 등록 친구들에 ‘…adesun…’ 포함된 링크주소 발송

안티바이러스 백신 개발업체 뉴테크웨이브(대표 김재명, www.viruschaser.com)에 따르면 ‘리마르(Win32.HLLM.Limar.based)’라는 이름의 웜이 MSN 메신저에 등록된 사용자를 중심으로 빠르게 확산되고 있다.

이 웜은 인스턴트 메신저에 등록된 사용자에게 대화창 등을 통해 특정 링크 주소를 발송하며, 해당 링크를 클릭하면 웜을 다운로드 한다.

웜이 실행되면 MSN 메신저 폴더(C:\Program Files\Messenger)의 메신저 프로그램(msmsgs.exe)을 삭제한 후 교체해 메신저 실행을 방해할 수 있다.

또한 보안관련 특정 사이트에 접속하지 못하도록 호스트 파일을 변경하고 정상프로세스에 DLL을 주입한다.

‘리마르’ 웜이 발송하는 링크 주소는 다음과 같다.

△ http://(랜덤숫자).hertunhadesunhinjer.com/m1/flash.exe

△ http://(랜덤숫자).hertunhadesunhinjer.com/(랜덤숫자)/(랜덤숫자)/

△ http://(랜덤숫자).zasedewionkderunhfadesun.com/m1/flash.exe

이와 같은 링크 주소를 받으면 절대 클릭하지 말고, 이미 다운로드 받거나 실행한 상태라면 안티바이러스 백신을 통해 먼저 메모리 부트 섹터를 검사한 후 전체 검사를 수행해야 한다.

강민규 뉴테크웨이브 기술연구소 연구원은 “19일 오후 6시부터 10건 이상의 리마르 웜이 신고됐다”며 “한번 감염되면 시스템에서 이메일 주소를 추출해 자신을 첨부한 이메일을 발송하므로 확산속도가 빠르다”고 말했다.

[김선애 기자(boan1@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>