11일 보안업계에 따르면, '2090 바이러스'가 MS 윈도우 취약점을 통해 빠르게 확산되고 있어, PC 사용자의 각별한 주의가 요구된다.
'2090 바이러스'로 알려진 이번 악성코드에 감염되면 윈도우 시스템 시간이 '2090년 1월 1일 오전 10시'로 나타나며, 이 바이러스는 윈도우 시스템 폴더(c:\WinNT\system32 또는 c:\Windows\system32) 안에 system.exe 파일을 생성해 실행된다.
악성코드가 실행되면 '81714.sys'와 '107.exe', '5684333'처럼 파일명이 숫자로만 이뤄지고, 확장자는 없거나 exe, sys 등으로 구성된 파일들을 생성한다.
또, 악성코드 생성과 더불어 실행 과정에서 메모리를 과다하게 사용해 시스템이 다운되도록 만든다. 악성코드에 감염되면 userinit 레지스트리에 추가 등록되기 때문에 재부팅 후에도 실행되도록 돼있다.
이로써 시스템 날짜가 2090년 1월 1일로 변경된 시스템이 다운된 후 감염된 PC를 재부팅해 사용자 계정에 로그인하면, 자동으로 로그아웃 되면서 정상적으로 시스템을 사용할 수 없게 된다.
(그림설명: 2090 바이러스 감염 후 임시 폴더에 생성된 악성코드 화면)
현재 이 바이러스는 MS08-067 취약점을 이용, TCP 445 포트를 스캔해 대상 시스템에 취약점이 존재하면 익스플로잇 코드를 전송해 전파시킨다. 또, 빠른 확산을 위해 이동식 디스크로 전파될 수 있도록 Autorun.inf 파일과 explorer.exe를 생성하며, 네트워크로 연결된 공유 폴더로도 확산시킨다.
뿐만 아니라, 이 바이러스는 동일 네트워크에 존재하는 컴퓨터에 Ping을 보내고 445 포트를 이용한 취약점을 스캔 하기 때문에 네트워크에 과부하를 초래한다.
하우리 보안대응센터 관계자는 이번 바이러스에 대한 예방으로, "일반 사용자의 경우 시스템 날짜를 먼저 확인하고 바이로봇 최신 엔진 업데이트 버전을 유지해야 하며, 기업 고객의 경우에는 전파되는 것을 막기 위해 감염된 PC의 네트워크를 차단한 후, 전용백신을 설치해 PC를 치료한 다음 네트워크에 연결하는 것이 바람직하다"고 전했다.
반면, 이스트소프트 측은 "사안의 시급성에 따라 보안업체들이 적절한 경고와 대처법을 마련하는 것은 당연하나 필요 이상의 공포심을 유발하는 것은 자제해야 한다"며, 이번 사태에 대한 부정확한 내용들이 확산돼 불안심리를 조장하는 것에 대해 우려를 표명하기도 했다.
'2090 바이러스'로 알려진 이번 악성코드에 감염되면 윈도우 시스템 시간이 '2090년 1월 1일 오전 10시'로 나타나며, 이 바이러스는 윈도우 시스템 폴더(c:\WinNT\system32 또는 c:\Windows\system32) 안에 system.exe 파일을 생성해 실행된다.
악성코드가 실행되면 '81714.sys'와 '107.exe', '5684333'처럼 파일명이 숫자로만 이뤄지고, 확장자는 없거나 exe, sys 등으로 구성된 파일들을 생성한다.
또, 악성코드 생성과 더불어 실행 과정에서 메모리를 과다하게 사용해 시스템이 다운되도록 만든다. 악성코드에 감염되면 userinit 레지스트리에 추가 등록되기 때문에 재부팅 후에도 실행되도록 돼있다.
이로써 시스템 날짜가 2090년 1월 1일로 변경된 시스템이 다운된 후 감염된 PC를 재부팅해 사용자 계정에 로그인하면, 자동으로 로그아웃 되면서 정상적으로 시스템을 사용할 수 없게 된다.
(그림설명: 2090 바이러스 감염 후 임시 폴더에 생성된 악성코드 화면)
현재 이 바이러스는 MS08-067 취약점을 이용, TCP 445 포트를 스캔해 대상 시스템에 취약점이 존재하면 익스플로잇 코드를 전송해 전파시킨다. 또, 빠른 확산을 위해 이동식 디스크로 전파될 수 있도록 Autorun.inf 파일과 explorer.exe를 생성하며, 네트워크로 연결된 공유 폴더로도 확산시킨다.
뿐만 아니라, 이 바이러스는 동일 네트워크에 존재하는 컴퓨터에 Ping을 보내고 445 포트를 이용한 취약점을 스캔 하기 때문에 네트워크에 과부하를 초래한다.
하우리 보안대응센터 관계자는 이번 바이러스에 대한 예방으로, "일반 사용자의 경우 시스템 날짜를 먼저 확인하고 바이로봇 최신 엔진 업데이트 버전을 유지해야 하며, 기업 고객의 경우에는 전파되는 것을 막기 위해 감염된 PC의 네트워크를 차단한 후, 전용백신을 설치해 PC를 치료한 다음 네트워크에 연결하는 것이 바람직하다"고 전했다.
반면, 이스트소프트 측은 "사안의 시급성에 따라 보안업체들이 적절한 경고와 대처법을 마련하는 것은 당연하나 필요 이상의 공포심을 유발하는 것은 자제해야 한다"며, 이번 사태에 대한 부정확한 내용들이 확산돼 불안심리를 조장하는 것에 대해 우려를 표명하기도 했다.
(그림설명: 2090 바이러스 감염 후 시스템 폴더에 생성된 악성코드 화면)
'뉴스/기사 > · 뉴스' 카테고리의 다른 글
| 'Adobe Reader Zero-day' 취약점 악성코드 유포 급주의! (0) | 2009.02.23 |
|---|---|
| MSI, 일체형 데스크톱 PC 신제품 시리즈 일본 출시예정 (0) | 2009.02.18 |
| Microsoft 보안 공지 MS09-004 – 중요 (0) | 2009.02.12 |
| 1월 렌즈 인기순위 - 렌즈 가격 오름세 지속 (0) | 2009.02.12 |
| 로지텍, 노트북용 무선키보드 ‘디노보 키보드’ 출시 (0) | 2009.02.12 |
