악성코드 하나를 주입한 후 다른 악성코드까지 대량으로 내려 받게 하는 ‘다단계’ 전파 방식의 악성코드가 확산되고 있다.
1일 뉴테크웨이브(대표 김재명)의 ‘10월 국내 악성코드 동향’ 분석에 따르면, 특정 사이트로 접속한 후 다른 악성코드를 대량으로 다운로드해 피해를 입히는 ‘오토러너(Win32.HLLW.Autoruer)’ 웜이 지난달 기승을 부린 것으로 나타났다. 특히 이들 악성코드는 대부분 게임 계정이나 개인정보 유출에 악용되고 있어 각별한 주의가 요구된다.
‘오토러너’ 웜은 윈도 구성파일인 ‘autorun.inf’를 이용해 USB 등 저장매체와 네트워크를 이용해 전파, 확산이 빠르다. 지난달 발견된 ‘오토러너’ 웜은 무려 10종의 트로이목마를 다운로드했다.
지난달 18일 발견된 변종은 ‘스니프’라는 트로이목마를 이용해 ARP 스푸핑 기법까지 도입했다. 같은 네트워크 내의 시스템들이 특정 웹사이트로 접속할 때 트래픽을 가로채 변조, 악성 아이프레임 코드를 삽입한 후 다른 악성코드 유포사이트로 접속하게 하는 방식이다. 이로 인해 패스워드 스틸러 등 또 다른 악성코드에 감염됐으며 결국 과도한 트래픽으로 인터넷이 지연되거나 아예 불통이 되는 피해를 입기도 했다.
뉴테크웨이브 관계자는 “최근 중국으로부터 유입되는 악성코드는 꼬리에 꼬리를 물고 다량의 악성코드를 전파하는 형태”라며 “앞으로도 게임 아이디와 패스워드 유출을 위한 다양한 공격 시도가 늘 전망”이라고 말했다.
뉴테크웨이브는 또 윈도 표준시간을 변경, 백신의 업데이트를 방해하는 악성 코드도 발견됐다고 밝혔다. 이 경우 백신이 해당 악성코드를 치료하더라도 윈도 표준시간은 원래대로 변경되지 않기 때문에, 윈도 업데이트가 자동으로 실행되지 않거나 특정 보안 프로그램이 오작동할 수 있다.
한세희기자@전자신문, hahn@