세상에서 가장 안전한 이름, 안철수연구소

이번 DDoS 공격과 관련하여 감염 시스템에서 생성된 악성코드(Win-Trojan/Destroyer.37264)가 2009년 7월10일 자정을 기점으로 하드디스크를 손상하는 기능을 갖고 있어 주의를 요합니다.

이 악성코드에 감염되면 PC내 일부 파일이 zip, zoo, arc, lzh, arj, gz, tgz 등의 확장자로 암호화되어 압축 저장됩니다. 또한 A~Z 드라이브의 물리적인 첫 시작 위치부터 ‘Memory of the Independence Day’라는 문자열이 저장돼 있어 정상적인 시스템의 MBR 및 파티션 정보가 손상되는 증상이 발생합니다.

해당 악성코드가 동작이 되는 환경은 Windows Vista 또는 닷넷 프레임워크(.NET Framework)가 설치된 Windows 2000/XP/2003 입니다.

악성코드 감염이 의심되는 경우

1) PC를 켜자마자 F8번 키를 눌러 안전모드로 부팅한 후
2) PC의 날짜를 7월10일 이전 날짜로 설정하여 재부팅
3) 안철수연구소에서 제공한 최신엔진과 전용백신으로 진단 및 치료

또한 V3 365 클리닉, V3 Internet Security 2007/7.0/8.0, V3 Lite 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료하실 수 있습니다.

안철수연구소는 1차 전용백신을 무료 제공한 데 이어 8일 저녁부터 안철수연구소를 비롯한 국내 웹사이트를 겨냥한 2차 DDoS 공격이 발생함에 따라 2차 전용백신을 개발해 9일 새벽 2시부터 무료 제공 중입니다.

이에 앞서, 안철수연구소는 2003년 1.25 인터넷 대란 이후 최고 수준의 전사 비상 대응 체제를 유지하고 일본 출장 중 급거 귀국한 김홍선 CEO를 중심으로 500여 전직원이 공익적 차원에서 국민적 안전을 위해 국가적 사이버 재난 사태에 총력을 기하고 있습니다. 

안철수연구소가 밤샘 분석 작업 끝에 악성코드를 해독한 결과 악성코드에 스케쥴러 기능이 설계돼 있음을 밝혔습니다. 이에 따르면, 기존 공격 대상 사이트 중 7개 사이트를 겨냥해 9일 18시부터 10일 18시까지 mail.naver.com, mail.daum.net, mail.paran.com, www.egov.go.kr, www.kbstar.com, www.chosun.com, www.auction.co.kr에 DDoS 공격을 하도록 코딩되어 있다고 합니다. 공격 대상과 시간은 변종 등에 의해 수시로 변경될 수 있습니다.

또한 8일 18시부터 9일 18시에는 www.mnd.go.kr, www.president.go.kr, www.ncsc.go.kr, mail.naver.com, mail.daum.net, mail.paran.com, www.auction.co.kr, www.ibk.co.kr, www.hanabank.com, www.wooribank.com, www.altools.co.kr, www.ahnlab.com, www.usfk.mil, www.egov.go.kr를 공격하도록 설계되어 있었습니다.

이는 7일에 발생한 공격 대상에서 변경된 것으로, 공격 대상 목록을 담은 파일(uregvs.nls)을 악성코드에서 자체 생성하는 것으로 추정되고 있습니다.

안철수연구소는 좀비 기능을 막기 위해 nls 파일을 차단하는 전용백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1)을 추가 개발해 개인은 물론 기업/기관에도 무료 제공 중입니다. 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 2007/7.0/8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료가 가능합니다.

현재 이번 DDoS 공격에 이용되는 악성코드를 완벽히 진단/치료하는 백신은 전세계에서 V3제품군이 유일합니다. 국가적 사이버 대란이 있을 때마다 앞장서 대책을 제시해온 안철수연구소는 이번에도 앞선 기술력과 긴급대응체제로 진화에 앞장서고 있는 것입니다. 안철수연구소는 변종 악성코드가 존재할 것으로 보고 변종 추적에 집중하고 있습니다.

안철수연구소 김홍선 대표는 “이번 DDoS 대란은 지속적으로 발생할 가능성이 높다. 공격 기지로 악용되는 개인 및 기업용 PC가 깨끗해져야 근본적으로 해결될 수 있다.”라며 “이번 사건으로 우리나라 정보보안 수준이 후진국 수준임이 드러났다. 개인은 물론 기업/기관 모두 정보보안의 중요성을 인식하는 계기가 되길 바란다.”라고 전했습니다.

한편 DDoS 공격을 받는 쪽에서는 트래픽을 적절히 분산하고 유해 패킷을 차단하는 등의 조치로 웹사이트 다운을 막을 수 있습니다. 웹사이트를 운영하는 기업/기관에서는 DDoS 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요합니다.

이번에 많은 웹사이트를 다운시킨 악성코드는 마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과, 또 다른 악성코드를 내려받는 다운로더(Downloader.374651), 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE, Agent.32768.AIK, Agent.24576.AVC, Agent.33841, Agent.24576.AVD)들입니다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한 것입니다.

이 악성코드에 감염되면 PC내 일부 파일이 zip, zoo, arc, lzh, arj, gz, tgz 등의 확장자로 암호화되어 압축 저장됩니다. 또한 A~Z 드라이브의 물리적인 첫 시작 위치부터 ‘Memory of the Independence Day’라는 문자열이 저장돼 있어 정상적인 시스템의 MBR및 파티션 정보가 손상되는 증상이 발생합니다.

안철수연구소는 7일 저녁부터 국내외 웹사이트를 겨냥한 DDoS 공격이 발생함에 따라 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편 DDoS공격을 유발하는 악성코드의 전용백신을 개발해 무료로 제공하고 있습니다.

이번에 많은 웹사이트를 다운시킨 악성코드는 마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과, 또 다른 악성코드를 내려받는 다운로더(Downloader.374651), 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE, Agent.32768.AIK, Agent.24576.AVC, Agent.33841, Agent.24576.AVD) 등입니다.

이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한 것입니다. 공격 대상은 청와대, 국방부, 옥션, 백악관, 야후 등 국내 13개, 해외 22개 사이트로 코딩되어 있으나, 공격자에 의해 변경/추가될 수 있습니다. 

안철수연구소는 이들 악성코드를 진단/치료할 수 있는 전용백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1)을 개발해 개인은 물론 기업/기관에도 무료로 제공하고 있습니다. 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 2007/7.0/8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있습니다.

웹사이트를 운영하는 기업/기관에서는 DDoS 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요합니다.

만우절에 조심해야 될 것은 거짓말입니다. 그런데 거짓말 이외에 만우절날  악성코드도 주의하셔야 될 것 같습니다.

최근 만우절을 겨냥한 악성코드가 외국에서 발견돼 주의가 필요합니다. 아직 국내 발견 보고는 없지만 유입 가능성이 높습니다. 

3월 7일 외국에서 발견된 이 악성코드는 4월 1일(만우절)을 겨냥한 것으로 올해 들어 많은 피해를 낳고 있는 콘피커(Conficker) 웜의 변형입니다.  이 악성코드에 감염됨 컴퓨터는 2009년 4월 1일을 기해 외부의 특정 시스템으로 접속을 시도해 다른 악성코드로 추정되는 파일을 다운로드합니다.

이 과정에서 500여 개 인터넷 주소로 무작위 접속을 시도하는 한편, 기업 망 외부의 IP주소들로 P2P 접속을 시도하기 때문에, 네트워크 트래픽의 과부하를 유발하게 도됩니다. 이에 따라 이 다수의 악성코드에 감염된 기업에서는 네트워크 장애가 발생할 수 있습니다.

이 악성코드의 피해를 막으려면 MS사가 제공하는 최신 윈도 보안 패치 업데이트를 하고 네트워크 공유 폴더는 읽기 권한만 설정하는 한편 윈도 사용자 계정 암호를 복잡하게 설정해야 합니다.

또한 개인 사용자는 콘피커 웜 전용백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=80&cPage=1)이나 PC주치의 보안 서비스인 V3 365 클리닉, 무료 백신 V3Lite를, 기업 내 PC 사용자는 V3 IS 7.0을 사용함으로써 악성코드 감염을 예방/치료하고 악의적인 패킷을 차단할 수 있습니다. 기업에서는 네트워크 보안 솔루션인 ‘트러스가드 UTM’ 등으로 악의적인 패킷의 유입을 차단할 수 있습니다.

콘피커 웜은 올해 1월 발견돼 국내외에서 많은 피해를 입히고 있으며, 변형이 지속적으로 제작되고 있으므로 개인 사용자가 기업 모두 보안 수칙을 준수하는 등 각별한 주의가 필요합니다. 

안철수연구소는 오늘(10일) 밤부터 컴퓨터 윈도 시스템의 날짜를 2090년으로 고정하여, PC사용을 막는 악성코드 일명 '2090 바이러스'(Win32/Aimbot.worm.15872) 전용 백신을 배포하고 있습니다.

2090 바이러스 치료 전용백신인 V3Kill(V3Aimbot.exe)은 안랩의 웹사이트를 통해 무료로 다운로드 받으실 수 있습니다. 이미 감염된 PC의 경우에 전용백신을 다운받아 치료하시면 됩니다.

(기존 V3 사용자(V3 365클리닉, V3 Lite 등)는 이미 몇일전부터 실시간 감시에서 사전에 진단 및 방어를 하기 때문에 크게 걱정하기 않아도 됩니다.)

전용백신 다운로드 사이트 바로가기[클릭]


이 웜에 감염되면 윈도 시스템 날짜가 2090년 1월 1일로 바뀌고, 일부 시스템(서비스팩3)에서는 컴퓨터 로그인과 동시에 로그오프가 되는 현상이 발생합니다. 또한 윈도 시스템 폴더에 랜덤한 7자리 숫자 파일을, Temp 폴더에 랜덤한 5자리 숫자의 sys 파일을 생성하기도 합니다. 감염 후에는 포르노사이트 등 특정 사이트로 접속 후 대기합니다.




이 웜은 윈도우 서버 서비스 관련 취약점(MS08-067)또는 오래전에 알려진 RPC DCOM (MS03-039) 취약점을 이용하였으며, 스스로 전파하는 기능은 없고 특정 호스트에 접속후 공격자의 명령에 의해서만 취약점을 이용하여 전파 되는 것으로 추정됩니다. USB의 autorun.inf 파일을 이용하기 때문에 만약 감염된 USB를 컴퓨터에 꽂으면 자동으로 감염되기도 합니다. 또한 네트워크로도 확산, 기업·기관 등에 피해가 확산될 우려가 있습니다.

Win32/Aimbot.worm.15872 상세 분석 정보 보기[클릭]

안철수연구소 시큐리티대응센터(ASEC) 조시행 상무는 "인터넷이나 이메일 상의 파일을 아무 것이나 다운로드하지 말고, 백신을 최신 버전으로 유지해야 한다"며 "윈도 보안 취약점에 대한 패치를 해야 재감염을 방지할 수 있다"고 주의를 당부했습니다.

[전용백신]


1. 본 전용백신은 다음과 같은 악성코드만을 진단/치료 합니다.

- Win-Adware/Alexa.110592
- Win-Adware/Cinmus.139115
- Win-Adware/Cinmus.97792
- Win-Dropper/Cinmus.148648
- Win-Dropper/Cinmus.59974
- Dropper/Autorun.172861
- Win-Adware/BHO.Cinmus.49152
- Win-Adware/BHO.Cinmus.86016
- Win-Adware/BHO.IEHpr.53248.F
- Win-Adware/Cinmus.10852
- Win-Adware/Cinmus.136452
- Win-Adware/Cinmus.184320
- Win-Dropper/Cinmus.64629
- Win-Trojan/Agent.122880.EC
- Win-Trojan/Agent.153257
- Win-Trojan/Agent.16261
- Win-Trojan/Agent.363520.P
- Win-Trojan/Agent.45056.WH
- Win-Trojan/Agent.69632.JH
- Win-Trojan/Agent.7682
- Win-Trojan/Agent.94247
- Win-Trojan/Downloader.200704.G
- Win-Trojan/Downloader.217088.D
- Win-Trojan/Downloader.45056.JS
- Win-Trojan/Keylogger.181248
- Win-Trojan/OnlineGameHack.115712.AQ
- Win-Trojan/OnlineGameHack.155330
- Win-Trojan/OnlineGameHack.28672.PJ
- Win-Trojan/OnlineGameHack.32768.HR
- Win-Trojan/OnlineGameHack.59904.U
- Win-Trojan/OnlineGameHack.62464.N
- Win-Trojan/OnlineGameHack.86016.CW
- Win-Trojan/Rootkit.29440
- Win-Trojan/Agent.122880.ED
- Win-Trojan/Cinmus.217088.B
- Win-Trojan/Agent.216064.J
- Dropper/InfoStealer.27648
- Win-Trojan/Cinmus.94208
- Win-Trojan/Cinmus.212992.Q
- Win-Trojan/Cinmus.212992.P
- Win-Trojan/Cinmus.107524
- Win-Trojan/AdAgent.53248
- Win-Trojan/AdAgent.53248.B
- Dropper/OnlineGameHack.15546
- Win-Trojan/OnlineGameHak.16896.CW
- Win-Trojan/Rootkit.3072.J


2. 전용백신 실행 전 작업중인 데이타는 반드시 저장하시고, 전용백신 이외에 다른 응용 프로그램은 반드시 종료하시기 바랍니다. 또한 전용백신의 동작중 다른 응용 프로그램의 실행은 가급적 권장 하지 않습니다.

3. 본 전용백신은 다음과 같은 윈도우 OS (32Bit) 에서만 정상적으로 동작 합니다. 따라서 다음 윈도우들의 64Bit 버전에서는 정상동작 하지 않습니다.

- 윈도우 2000
- 윈도우 XP
- 윈도우 2003
- 윈도우 비스타

4. 전용백신은 반드시 "관리자 권한" 으로 실행 되어야 합니다.

5. 작업이 끝나면 팝업 메뉴에 따라 반드시 시스템을 재부팅 해주신 후 다시 검사를 수행하시기 바랍니다.

안철수연구소는 최근 외국 가짜백신의 변종과 함께 설치돼 많은 피해를 주고 있는 악성코드인 ‘페이크AV.31744(Fakeav.31744)’를 진단/치료할 수 있는 전용백신 ‘V3 Kill for Fakeav.31744’를 개발해 웹사이트에서 무료 제공하고 있습니다.

이번 전용백신은 급속히 증가하는 외산 가짜백신의 위협으로부터 일반 사용자의 컴퓨터 피해를 방지하고 인터넷 환경을 보호하기 위해 긴급히 제작, 배포하는 것으로, ‘페이크AV.31744’에 대해 전용백신 형태로 제공하는 것은 국내외 보안 업계에서 안철수연구소가 처음이라고 할 수 있습니다.  

‘페이크AV.31744’는 가짜백신 프로그램인 ‘안티바이러스XP2008(AntiVirusXP2008)’의 일부 변종과 함께 설치돼 스팸 메일을 발송하거나 다른 악성코드를 설치합니다. ‘페이크AV.31744’는 백신의 진단/치료를 막기 위해 자신에게 접근(엑세스)하지 못하게 막는 기법을 썼기 때문에 진단 및 삭제는 물론 이동 및 복사조차 불가능한데, 이 때문에 일부 백신은 진단조차 못하거나 진단만 하고 치료를 못하는 상황입니다.

안철수연구소는 이번에 ‘페이크AV.31744’처럼 자기 보호 기법을 쓰는 악성코드에 대응하기 위한 기술을 개발해 전용백신으로 제공하는데, 이 기술은 이번부터 전용백신에 탑재돼온 은폐형 악성코드 진단/치료 기술인 ‘트루파인드(TrueFind)’ 기술에 추가돼 앞으로 지능적인 악성코드에 대응할 예정입니다.  또한 이번에 개발한 ‘트루파인드(TrueFind)’ 기술을 추후 ‘V3 365 클리닉 2.0’을 비롯해 모든 V3 제품군에 적용할 계획입니다.

안철수연구소는 급속히 확산돼 많은 피해를 일으킬 소지가 있는 악성코드에 대해 전용 백신을 별도로 개발해 무료 배포해오고 있습니다. 최근 피해가 많은 ARP 스푸핑(ARP Spoofing), 바이럿(Win32/Virut), 루트킷(Win-Trojan/Rootkit), 베이글(Win-Trojan/Bagle) 등의 전용백신을 비롯해 50개에 달하는 전용백신을 제공하고 있습니다.  

*가짜백신 ‘안티바이러스XP2008’의 특징

가짜백신 프로그램인 ‘안티바이러스XP2008’은 올해 하반기 들어 국내외에서 가장 큰 피해를 일으키고 있으며, 안철수연구소 시큐리티대응센터(ASEC)에 들어온 신고 건수만 8월 한 달 동안 100건이 넘었다. 변종이 약 200개에 달하며 ‘안티바이러스XP2009’도 등장했다.

이 가짜백신의 특징은 사용자의 불안감을 자극해 비용 결제를 유도한다는 점이다. 우선 설치 과정에서 배경 화면 변경, 보안 설정 변경, 블루스크린 스크린 세이버 설정 등으로 컴퓨터를 정상적으로 이용할 수 없게 한다. 사용자가 원래대로 설정을 돌려놓지 못하게 디스플레이 등록 정보의 배경 이미지와 스크린 세이버 설정 탭을 안 보이게 변경한다.

또한 다른 가짜백신은 단순히 과장되거나 거짓 진단 결과를 보여주는 데 그치지만, ‘안티바이러스XP2008’는 인터넷 익스플로러, 작업표시줄의 트레이 아이콘, 시스템 오류 메시지 등을 이용해 악성코드에 감염됐다는 메시지를 보여줌으로써 사용자를 불안하게 만든다. 사용자는 불안한 마음에 비용 결제 요구에 응하게 된다.

또한 ‘안티바이러스XP2008’는 설치 경로가 다양해 재감염의 가능성이 높다. 첫째, 동영상 코덱으로 위장해 성인 사이트 중심으로 확산되는 스파이웨어인 즐롭(Zlob)에 포함되어 설치된다. 둘째, 이미 설치된 다른 악성코드가 특정 서버에 접속해 내려받기도 한다. 이런 경우 부팅 때마다 또는 일정 시간마다 악성코드를 설치하기 때문에 한번 진단/치료를 해도 재감염이 반복돼 근절하기가 쉽지 않다.