안철수연구소(대표 안철수)는 다양한 확산 방법을 갖고 있는 야하 바이러스(Win32/Yaha.worm.27648)가 외국에서 급속히 확산되고 있어 국내에 유입될 가능성이 높다고 21일 밝혔다.
이 바이러스는 보안 패치를 하지 않은 마이크로소프트의 전자우편 프로그램에서는 전자우편을 읽기만 해도 첨부된 바이러스 파일이 자동으로 실행된다. 일단 감염되면 전자우편 프로그램의 주소록에 등록된 사람을 물론 MSN메신저·야후페이저·ICQ 등 인스턴트메신저 프로그램에 등록된 사람의 전자우편 주소로도 바이러스를 보낸다. 또 임시 인터넷 파일 폴더에 있는 전자우편 주소로도 바이러스 전자우편을 발송한다.
감염 증상은 사용중인 백신이나 개인방화벽을 강제로 종료하고 모니터에 ‘U r so cute today #!#!’ 등의 문장이 반복적으로 나타나면서 화면이 흔들린다. 이것은 마치 첨부된 파일이 스크린세이버인 것처럼 위장하는 것으로 마우스나 키보드를 움직이면 정상으로 돌아온다.
이 바이러스는 클레즈 바이러스처럼 전자우편의 제목이나 본문 내용, 첨부 파일명 등이 수시로 바뀐다. 다만 바이러스 확장자는 ‘*.pif’ ‘*.bat’ ‘*.scr’ 가운데 하나다. 한편 국내 백신 업체들은 이 바이러스를 검색하고 치료할 수 있는 엔진을 지난 20일 업데이트했다.
<장동준기자 djjang@etnews.co.kr>