안티-바이러스 전문업체들은 윈도우 시스템 시간을 ‘‘2090년 1월 1일 오전 10시’로 나타내는 ‘2090 바이러스’가 MS윈도우 취약점을 통해 빠르게 확산되고 있어, PC 사용자의 각별한 주의가 요구된다고 11일 경고했다. 하우리, 안철수연구소 등 안티 바이러스 업체들은 인터넷이나 이메일 상의 파일을 아무 것이나 다운로드하지 말고, 백신을 최신 버전으로 유지하는 동시에 실시간 감시 기능을 항상 켜두라고 경고했다.
`2090 바이러스(하우리 진단명은 Trojan.Win32.Crypt.15872.B)`로 알려진 이 악성코드에 감염되면 윈도우 시스템 시간이 ‘2090년 1월 1일 오전 10시’로 나타나는 증상을 발견할 수 있다.
이 바이러스는 윈도우 시스템 폴더(c:WinNTsystem32 또는 c:Windowssystem32) 안에 system.exe파일을 생성하여 실행된다. 악성코드가 실행되면 ‘81714.sys’, ‘107.exe’, ‘5684333’처럼 파일명이 숫자로만 이루어져 있고, 확장자는 없거나 exe, sys 등으로 구성된 파일들을 랜덤하게 생성한다.
감염시스템에서 악성코드의 생성과 실행 과정에서 메모리를 과다하게 사용하여 시스템이 다운되도록 만든다. 악성코드에 감염되면 userinit 레지스트리에 추가 등록되기 때문에 재부팅 후에도 실행되도록 되어있다.
시스템 날짜가 2090년 1월 1일로 변경된 시스템이 다운된 후 감염됨 PC를 재부팅하면 사용자 계정에 로그인 시 자동으로 로그아웃되어 정상적인 시스템을 사용할 수 없게 된다.
현재 이 바이러스는 MS08-067취약점을 이용하여 TCP 445 포트를 스캔하여 대상 시스템에 취약점이 존재하면 익스플로잇 코드를 전송하여 전파시킨다. 또, 빠른 확산을 위해 이동식 디스크로 전파될 수 있도록 Autorun.inf 파일과 explorer.exe를 생성하며 네트워크로 공유된 공유폴더로도 확산이 가능하다.
그 뿐 아니라 이 바이러스는 동일 네트워크에 존재하는 컴퓨터에 Ping을 보내고, 445포트를 이용한 취약점 스캔을 하기때문에 네트워크에 과부하를 초래한다.
하우리 보안대응센터 바이러스팀 황재훈 선임연구원은 “일반 사용자의 경우 시스템 날짜를 먼저 확인하고, 바이로봇 최신 엔진 업데이트 버전을 유지해야 하며, 기업 고객의 경우에는 전파되는 것을 막기 위하여 감염된 PC의 네트워크를 차단한 후, 전용백신을 설치하여 PC를 치료한 다음 네트워크에 연결하는 것이 바람직하다”고 전했다.
전자신문인터넷 장윤정 기자linda@etnews.co.kr