-친구가 보낸 그림으로 위장된 파일 전송해 시간당 수백 대의 PC 감염시켜-

MSN을 통해 전파되며 전 세계적으로 시간 당 수백 대의 컴퓨터에 맬웨어를 뿌리고 돌아다니는 신종 트로이 바이러스가 또 발견돼 주의가 요구된다. 이 맬웨어는 지인이 보내는 그림 파일로 위장돼 MSN 메신저 파일을 타고 침입한다.

이 신종 트로이 바이러스는 지난 18일 처음 발견된 후 수 시간 안에 수백 대의 PC를 보넷(roBOT NETwork: 스팸, 바이러스, 메시지 대량 발송 등에 쓰이는 컴퓨터 집단. 보넷을 컨트롤하는 침입자는 주로 메신저 같은 인터넷 채팅 이용자가 명령어를 입력할 때 트로이 바이러스를 감염시키는 경우가 많다)의 일원으로 만들어 버렸다. 또 현재도 계속 VNC(virtual network computing: 다양한 원격 클라이언트에서 호스트 컴퓨터에 접근하는데 쓰이는 오픈 소스 프로그램)를 찾아 돌아다니고 있으며 감염 규모를 키워가고 있다.

이 같은 사실을 처음 발견한 것은 이스라엘의 보안 업체인 알라딘(aladdin.com)에서 콘텐츠 보안 서비스 팀(eSafe CSRT). 이들은 1대의 운영자 PC가 제어하는 500 대 이상의 봇 PC를 발견했다. (봇 역시 ‘robot’의 준말이며 로 웹 사이트를 방문하고 요청한 정보를 검색 및 관리하는 에이전트를 뜻한다.)

이들은 시간당 수백 대 씩 증가, 발견한지 3시간이 채 못돼서 수천대의 보넷 PC가 생겨난 것으로 파악됐다.

이 트로이 바이러스는 MSN 메신저를 통해 a.zip이라는 파일을 보낸다. 이 압축 파일에는 2개의 파일이 들어 있으며 이 중 하나는 ‘pics’라는 단어를 포함한다.

최근 많이 사용되는 스캐너나 디지털 카메라가 그림을 파일로 저장할 때 보통 영문 알파벳과 아라비아 숫자로 조합된 파일명과 jpg 확장자를 사용하는데 ‘pics’라는 파일 명으로 위장된 이 파일은 이것을 모방한 실행파일 형식을 띠고 있다.

즉, ‘DSC00125.jpg.exe’라는 파일 이름을 가지고 있어 메신저 이용자는 이것이 친구가 보낸 그림 파일로 착각하게 된다는 것.

압축된 다른 하나의 파일은 ‘images’라는 단어를 포함한 실행파일로, 예를 들어 ‘IMG12541.pif.exe’라는 이름을 갖고 있다.

이 파일은 이미 MSN 메신저 상에서 알고 있는 사용자의 이름으로 위장돼 퍼지지만 알지 못하는 이용자가 보내는 것으로 위장하는 경우도 있다.

IM 프로그램의 일종인 인펙션 벡터(infection vector)는 새로운 것이 아닌 것이 아니지만 VNC 인스턴스를 스캔해 보넷 접속을 늘려가는 형태는 새로운 것으로 알려졌다.