MSN으로 전파되는 WMF악성코드 국내 급속 확산
정보보안업체인 안철수연구소(대표 김철수)는 20일 오전 윈도메타파일(WMF)의 취약점을 공격하는 악성코드가 국내에서 MSN 메신저로 급속 확산됐다고 밝혔다.
이 악성코드는 MSN으로 특정 인터넷 주소(http://www.e??o.i??o/fun/)를 받고 이를 클릭했을 때 나타났다. 보안패치가 된 PC의 경우, www.e??o.com과 e.wmf 파일을 열거나 저장하겠느냐고 묻는 창이 열리고 이때 `열기’ 버튼을 누른 사용자들이 악성코드에 감염되었으며 보안 패치가 안 된 PC에서는 e.wmf 파일이 자동 실행됐다.
안철수연구소는 www.e??o.com 파일이 악성 IRC 봇 변형으로 유포자가 감염된 PC의 정보유출뿐만 아니라 다른 시스템에 대한 공격을 원격조정하는 역할과 함께 MSN 대화 상대 모두에게 인터넷 주소를 자동으로 보내는 기능을 수행했다고 밝혔다. 또 e.wmf는 취약점이 존재하는 파일로 특정 FTP 서버에 접속해 b.exe 파일을 다운로드받는 기능을 했다고 설명했다. 그러나 b.exe파일에서는 아무 기능이 발견되지 않았다고 회사측은 덧붙였다.
안철수연구소 시큐리티대응센터는 이날 오전 9시부터 11시까지 2시간동안 총 10건의 신고가 들어왔을 만큼 급속 확산되는 경향을 보였으나 11시경 문제의 인터넷 주소에 접속이 차단되면서 이 웹사이트를 통한 추가 확산은 없을 것으로 추정된다고 덧붙였다. 그러나 악성코드 유포자가 다른 웹사이트를 해킹, 같은 일을 반복할 수 있다면서 사용자들의 주의를 당부했다. 실제로 지난 16일에도 메신저로 이번과 다른 특정 인터넷 주소(http://paul????heiro.com/img/info/index.php?pg_id=448481)를 통해 악성코드가 유포된 바 있다.
강은성 안철수연구소 시큐리티대응센터 상무는 “악성코드 유포자는 여러 웹사이트를 옮겨다니며 게릴라성 해킹을 한 후 WMF취약점 공격용 악성코드를 심어놓은 후 많은 사용자가 접속하도록 메신저로 해당 웹사이트 주소를 유포하도록 하고 있다”면서 “일단 사이트가 접속 차단된 상태이지만 언제라도 이와 유사한 경우가 발생할 수 있다”고 밝혔다. 그는 이어 “메신저로 아무 대화 내용 없이 인터넷 주소만 들어온 경우 함부로 클릭하지 말아야 한다” 면서 “최신 윈도 보안 패치를 적용해 위험을 줄이는 한편 감염된 경우 최신 백신으로 진단, 치료해야 한다”고 강조했다.
이홍석기자@디지털타임스
