msiexec1.exe, w32.dozer 악성코드 원인
청와대 및 국민, 우리은행 등의 금융권 그리고 포탈사이트인 다음과 네이버 등이 지난 7일부터 DDoS 공격을 받아 충격을 주고 있다.
이번 DDoS 공격은 최소 5만대 이상의 컴퓨터가 이용된 것으로 보여 지며 보안 업체인 안철수연구소까지 침공하는 무소불위의 양상을 띤 것으로 나타났다.
안철수연구소(www.ahnlab.com)는 지난 9일 18시부터 www.kbstar.com, mail.daum.net 등에 DDoS 공격이 이뤄졌다고 발표했으며 자사 웹사이트를 비롯해 2차 공격 대상이었던 곳에는 트래픽이 줄어들었다고 발표했다.
이번 DDoS 공격은 악성코드 중 일부가 하드디스크를 손상시키고 데이터를 파괴하는 등 개인 PC에 치명적인 손상을 일으킨 것으로 나타났다.
안철수연구소는 이러한 악성코드가 msiexec1.exe(진단명: Win-Trojan/Downloader.374651)로 하드디스크의 물리적인 첫 시작 위치에 ‘Memory of the Independence Day’ 라는 문구를 이용해 치명적인 피해를 입힌다고 밝혔다.
이 악성코드에 감염되면 시스템의 MBR(Master Boot Recorder) 및 파티션 정보가 손상돼 정상적인 부팅이 되지 않는다.
또한 doc, xls, ppt, pdf 등 문서 파일을 파괴해 PC에 저장된 중요한 데이터를 손상시키는 것으로 나타났다.
더욱이 이렇게 손실된 데이터는 시스템의 정상적인 부팅 및 데이터 복구에 어려움이 있으므로 각별한 주의가 요망된다고 덧붙였다.
시만텍 보안 연구소는 최근 미국과 한국 정부를 비롯해 다수의 금융 및 미디어 웹사이트를 대상으로 한 DDoS 공격의 원인이 마이둠(MyDoom) 웜의 변종 및 w32.dozer라는 악성 코드라고 밝혔다.
마이둠 웜은 한 번에 대량의 이메일을 전송하는 매스 메일링(Mass-mailing) 웜으로 zip, exe, bat와 같은 확장자명의 첨부파일로 확산된다는 것이 시만텍의 설명.
실제로 다음과 네이버는 메일 주소명을 일부 수정하는 것으로 이번 DDoS 공격을 일부 피해냈다.
시만텍 보안 연구소가 밝혀낸 W32.dozer는 주로 이메일의 첨부 파일로 확산되는 보안 위협으로 사용자가 첨부 파일을 클릭하면 다음의 악성 코드가 사용자 시스템에 다운로드 되도록 하는 수법을 쓰는 것으로 나타났다.
시만텍 보안 연구소가 밝혀낸 대표적인 악성코드는 트로잔 바이러스로도 익숙한 Trojan.dozer로 사용자의 PC를 제어해 봇넷에 포함시키는 수법을 쓰고 있으며 공격자는 봇넷에게 공격할 웹 사이트를 지시하게 된다.
이번 DDoS의 대표적인 공격이기도 한 마이둠 웜은 w32.dozer를 재확산 시키기 위해 매스 메일링 용도로 사용되는 것으로 추정된다고 밝혔다.
시만텍은 DDoS 공격을 방지하기 위해 모든 컴퓨터 사용자들이 보안 소프트웨어를 최신 버전으로 업데이트하고 컴퓨터 시스템이 감염되지 않도록 주의하는 등 안전한 인터넷 사용을 위한 일반적인 실천 방안을 엄수해야 한다고 권고했다.
안철수연구소는 무료 전용백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1)이나 개인용 무료백신 ‘V3 LIte’를 비롯 ‘V3 365 클리닉’(http://v3clinic. ahnlab.com/v365/nbMain.ahn), V3 인터넷 보안 2007/7.0/8.0 등의 최신 버전을 사용해 진단, 치료해야 한다고 덧붙였다.
<趙慶熙 기자> workerjkh@kbanker.co.kr