안철수연구소(대표 김철수 http://www.ahnlab.com)는 16일 선정적인 제목의 파일을 첨부해 이메일과 P2P 프로그램으로 전파되는 ‘베이글 웜’ 변종이 국내에서 급속 확산되고 있어 사용자들의 주의를 경고했다.
이 웜은 2004년 초 나타난 베이글 웜의 변종(Win32/Bagle.worm.27136)으로 아직 실제 신고는 없지만 안철수연구소의 바이러스 사전대응 서비스인 VBS(Virus Blocking Service)에 3시간 만에 163여 건이 필터링돼 이메일로 급속 확산되고 있는 것으로 파악된다.
이 웜은 메일로 전파되며 제목과 본문 내용이 임의로 바뀐다. 첨부 파일이 love_me.exe, mplay.exe 등으로 호기심을 자극하는 형태다. 이 웜에 감염되면 PC에 저장된 메일 주소를 수집해 웜이 첨부된 메일을 발송하므로 감염된 PC가 많을 경우 SMTP 서버(TCP 25번 포트)의 네트워크 트래픽이 증가한다.
또 P2P 프로그램이 사용하는 공유 폴더를 찾아 웜을 복사해두기 때문에 P2P 프로그램을 통해서도 전파될 수 있다. ‘SHARE’라는 문자열을 가진 폴더를 검색해 P2P(Peer-to-Peer) 프로그램의 공유 폴더나 일반적인 윈도 공유 폴더에 웜을 복사한다.
이 웜은 특정 포트를 열어 외부에서 해킹 등 불법적인 접근을 유도한다. 해커는 감염된 PC에 몰래 접속해 프로그램을 실행한 후 데이터를 삭제하거나 시스템, 네트워크 정보를 빼낼 수 있다.
강은성 안철수연구소 시큐리티대응센터장은 “이 웜은 이메일과 P2P, 윈도 공유 폴더 등 다양한 경로로 전파되며 해킹 기능도 있어 위험도가 높다”며 “성적 호기심이나 유명 소프트웨어에 대한 관심을 자극하는 파일에 현혹되지 말고 최신 버전의 보안 제품으로 진단하고 치료할 것”을 권고했다.
김인순기자@전자신문, insoon@