잉카인터넷(대표 주영흠, www.nprotect.com)은 25일 MSN 이나 Live 메신저를 이용해 압축파일이나 링크를 전송하는 새로운 웜이 국내에 전파되고 있다고 밝혔다.

Backdoor/W32.IRCBot.120832.B라는 이 웜은 ‘Summer2008.zip’이라는 파일링크나 특정 압축파일이 전송되며, 간혹 변종도 나타난다.

이 파일을 실행하면 NTKrnl 이라는 화면이 나타났다가 사라지고, Windows 폴더에 다양한 이름의 압축파일 파일이 생성되며, System32 폴더에는 notiffy.dll 와 printers.exe 파일이 나타난다.

Windows 폴더에 생성되는 압축파일은 다른 MSN 메신저로 전송되는데 사용된다.

파일명은 임의의 숫자들이 조합되기 때문에 파일명이 감염 컴퓨터마다 다르게 된다. 대표적으로 images, photos, album, picture 등의 단어들과 숫자들이 조합되어 사용되며, picture20.zip 등과 같은 파일명이 나타난다.

특정 사이트를 통해서 다양한 악성코드를 추가로 다운로드 해 설치하기 때문에 감염되면 많은 악성코드에 한꺼번에 노출되는 피해를 입을 수 있어 각별한 주의가 필요하다.

잉카인터넷 시큐리티 대응센터는 “ 사진이나 그림 압축 파일이나 특정 링크가 전송될 경우, 파일을 절대 실행하지 말고, 상대방에게 전송여부를 확인해야 한다”고 당부했다.

잉카인터넷은 nProtect 홈페이지(www.nprotect.com)를 통해 자세한 분석정보와 치료 프로그램을 제공할 예정이다.

[김선애 기자(boan1@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>