에스지어드밴텍(대표 은유진, www.viruschaser.com)은 지난 12월 5일부터 Hosts 파일이 지속적으로 변경되거나 중국발 성인 광고창이 발생하는 장애 접수가 지속돼 각별한 주의가 필요하다고 밝혔다.
에스지어드밴텍은 이러한 바이러스가 발견될 경우 해당 취약점에 대한 보안패치를 설치하거나 바이러스 구성요소 파일을 삭제 조치하도록 당부했다.
이번 바이러스는 해킹된 사이트에 사용자가 접근하면 취약점에 의한 바이러스가 실행돼 감염되며, 중국어 성인 광고 팝업이 발생하고 Hosts파일이 지속적으로 변경된다는 특징을 가진다. 이는 이동식 디스크를 통해 새로운 시스템에 전파될 수 있다.
에스지어드밴텍 연구소 최재혁 팀장은 “특히 최초 설치된 악성코드(Trojan.NtRootKit.Based)에 의해 다수의 악성코드를 다운로드 받아 설치하므로 개인정보 유출 및 ARP Spoofing애 의한 네트워크 장애를 발생시킬 수 있어 더욱 신경을 써야 한다”고 설명했다.
이번 바이러스의 증상으로는 ▲ 네트워크 장애(ARP Spoofing), ▲ 웹 브라우저의 팝업 창 발생, ▲ 레지스트리 편집기등 보안 프로그램의 시작 불가, ▲ 일부 보안 사이트 접속 불가 (Hosts 파일 편집), ▲ 시스템 운영 장애(다수의 악성코드 다운로드 및 실행)으로 요약된다. 해당 악성코드는 매 시간마다 100여종 이상의 새로운 변종이 발생해 대응의 어려움 또한 많아 신속한 보안 업데이트가 요구되는 것.
이러한 바이러스 감염을 예방하거나 이미 감염된 바이러스를 치료하는 방법은 취약점에 대한 보안패치를 설치하거나 바이러스 백신 업데이트 확인 및 이동식 저장장치 보안을 강화하는 방법 등이 있다.
또한 이번 바이러스는 감염된 시스템에서 사용한 이동식 디스크를 통하여 새로운 시스템에 전파될 수 있는 특징을 보인다. 따라서 Autorun.inf 를 통하여 감염된 드라이브 루트의 system.dll 실행하므로 해당 파일 존재 확인 및 삭제 조치가 필요하다.
이밖에 이번 바이러스에 대한 자세한 사항은 안티바이러스 백신 ‘바이러스체이서’ 홈페이지(http://www.viruschaser.com)에서 확인 가능하다.
전자신문인터넷 장윤정 기자linda@etnews.co.kr