메신저로 확산되는 웜 피해 확산

 메신저로 확산되는 웜이 또 다시 등장해 피해가 발생했다.

 안철수연구소(대표 오석주 www.ahnlab.com)는 MSN 메신저로 확산되는 웜이 26일부터 발견되기 시작했으며 27일 변종까지 등장해 관련 피해가 확산되고 있다며 이용자의 주의를 당부했다. <본지 2월 23일자 9면 참조>

 이번에 발견된 웜은 ‘셰도봇.18944(ShadoBot.18944)’와 ‘셰도봇.21504(ShadoBot.21504)’로 감염될 경우 개인정보가 유출될 수 있으며 해커로부터 원격 제어를 당해 악의적 공격에 악용될 수 있다. 또 메신저 대화 상대가 아닌 상대방에게도 무작위로 웜을 전송하기 때문에 피해 범위가 넓은 것이 특징이다.

 확산 방법은 메신저로 사진을 보라는 영문 메시지와 함께 ‘photo album.zip’ 파일을 전송하는데 사용자가 이 파일을 압축 해제하면 ‘photo album2007.pif’ 파일이 생기고, 다시 이 파일을 실행하면 ‘rdshost.dll’ 파일이 생성된다.

 이 파일은 특정 IRC 서버에 접속해 사용자(해커)가 내리는 악의적인 명령(다른 PC를 공격하는 등)을 받아 수행하는 기능을 한다. 이른바 ‘좀비 PC’가 되는데 이때 감염된 PC의 개인 정보가 유출될 수 있다. 또한 이 웜이 작동하는 동안에는 다른 프로그램의 작동이 일시 중단된다.

 안철수연구소는 사진을 보라는 내용의 메시지가 메신저로 오면 바로 창을 닫는 것이 안전하며 통합 보안제품을 최신버전으로 유지해 악성코드에 감염되지 않도록 해야 한다고 설명했다.

 이 회사 강은성 상무는 “연초에는 인터넷 주소를 클릭하게 유도하는 웜이 등장했고 이번에는 첨부 파일을 열어보게 하는 형태가 등장했다”며 “사용자가 많은 프로그램을 이용해 손쉽게 확산되게 하기 위해 사용하는 지능적인 수법이므로 사용자의 주의가 필요하다”고 말했다.

 김인순기자@전자신문, insoon@