윈도 취약점 이용한 웜 피해 급증...뉴테크웨이브, 8월 악성코드 분석결과 발표
바이러스 백신 개발업체 뉴테크웨이브(www.viruschaser.com. 대표 김재명)는 ‘뉴테크웨이브 기술연구소’를 통해 8월 악성코드를 분석한 결과 MS 윈도의 보안 취약점을 공격하는 형태의 웜이 지속적으로 증가하고 있는 것으로 나타났다고 발표했다.
8월 9일 처음으로 MS06-040 취약점을 공격하는 웜 ‘Win32.HLLW.Nert’ 가 등장했고 이후 MS06-040 취약점을 추가한 IRC봇 계열의 웜 들도 지속적으로 발견되고 있는 것으로 조사됐다.
분석 결과를 살펴보면 전체 악성코드는 지난달에 비해 19.14%의 증가량을 보였다. 전체 웜의 증가율은 19.59%, 암호유출 트로이목마는 ‘Gavir 웜’ 증가로 인해 7월 대비 26.76% 증가 했다.
이러한 결과는 이메일 웜과 네트워크 웜 중 이메일 웜은 증가하지 않은 반면 지난 3월부터 계속 감소세를 유지하던 네트워크 웜이 8월 34.15%나 증가했기 때문인 것으로 분석됐다. 네트워크 웜은 8월에 발표된 MS 보안 취약점인 MS06-040을 이용한 웜의 출현과 암호유출 트로이목마를 전파시키는 복합형 악성코드인 Gavir(네트워크 웜 + 바이러스) 변종의 지속적인 등장이 원인이다.
윈도 보안 업데이트가 이루어지지 않아 MS06-040 취약점에 노출된 시스템의 경우에는 백신이 설치되어 있을 경우라도 ‘마우스 클릭이 안 되는 증상 또는 60초 카운트(60초 후 PC가 재부팅되는 현상)’ 등의 시스템 이상이 나타날 수 있다. 이러한 증상의 원인은 네트워크상에서 취약점 공격을 받은 시스템의 정상적인 윈도 서비스가 오류를 일으킴으로써 나타날 수 있기 때문이며, 향후에도 마이크로소프트의 보안 취약점인 MS06-040을 이용한 악성코드는 지속적으로 나타날 것으로 예상된다.
기술연구소 최재혁 팀장은 “방화벽이나 패킷 필터링 등으로 MS06-040 취약점 공격을 방어를 할 수 있으나 윈도 보안 업데이트를 실행해야 근본적인 문제를 해결할 수 있다”고 설명했다. 또 “Win32.HLLW.Gavir 과 같이 암호유출 트로이목마를 설치하기 위한 웜이나 중국발 웹 페이지 해킹도 계속 증가할 것”이라고 예상했다.
[용어 설명]
'MS06-040' 취약점
서버 서비스의 취약점으로 인한 원격 코드 실행 문제점. 서버 서비스의 검사되지 않은 버퍼로 인해 버퍼 오버플로우(Buffer Overflow)를 일으킨다. 공격자는 취약점이 존재하는 컴퓨터에 원격으로 완전히 제어할 수 있다. 따라서 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있다
버퍼 오버플로우(Buffer Overflow)
운영체제나 프로그램 사용 중 메모리(버퍼)에 지정한 크기의 영역을 초과하는 데이터가 입력되면 프로그램이 비정상적으로 동작하게 됨을 의미한다. 버퍼 오버플로우가 발생하면 프로그램의 복귀 주소(return address)가 의도되지 않은 곳으로 변경되므로, 해커들은 보안 취약점 등을 이용해 복귀 주소를 조작하고 자신이 원하는 코드를 삽입하여 실행할 수 있다.
웹사이트: http://www.viruschaser.com
연락처
KnA 이영란 대리 747-8089 / 016-801-5381
-
2008년 10월 8일 10:13