11월 일련 번호 훔치는 봇 프로그램 강세
한국트렌드마이크로(www.trendmicro.co.kr 지사장: 함재경)는 최근‘2004년 11월 바이러스 분석 보고서’에서 전세계적으로 일련번호를 훔치는 봇 프로그램이 강세를 보였다고 발표했다.
트렌드마이크로의 세계 바이러스 추적센터(Worldwide Tracking Center)인 트렌드랩(TrendLabs)에 의해 조사된 결과, 11월 한 달 동안 총 1,564개의 악성 프로그램(참고:10월에는 1,817개의 악성 프로그램이 발견) 이 발견됐으며 이는 지난 달에 비해 14% 감소한 수치이다.
이들 중 주를 이루는 것은 웜과 트로이목마로, 각각 전체 악성 프로그램의 40%와 42%를 차지했다.
그러나 새로 발견된 913개의 악성 프로그램(malware) 중 거의 절반은 웜으로 1위를 차지했다. 새로 검색된 전체 웜의 70% 가량이 봇 프로그램이며, 이 프로그램에 의한 감염의 확산은 10월부터 11월 사이에 15% 가량 증가했다.
트렌드마이크로는 웜이 지속적으로 확산되고 그 수가 꾸준히 증가함에 따라 트로이목마를 10대 바이러스 목록에서 완전히 몰아내기에 이른 것으로 평가했다. 이러한 현상은 봇 프로그램의 급성장에 기인한 것이다. 악성 프로그램을 제작 및 유포하는 이들의 주 동기가 금전적인 수익을 위한 것이라고 가정할 때, 웜은 더 많은 수익을 낼 수 있도록 효율적으로 배포되었음이 분명하고 적어도 악성 프로그램 개발자가 의도한 소기의 목적을 달성한 것으로 보인다.
특히 11월 중 발생한 바이러스 감염 사례에서 봇 프로그램에 의한 감염은 약 1/3에 달한다. 또한 봇 프로그램의 변종 중 AGOBOT과 RBOT가 각각 24%를, SDBOT가 16%를, WOOTBOT가 10%를 차지했다.
이들 봇 프로그램은 시리얼 넘버와 같은 일련 번호를 훔치려 시도한다는 하나의 특징을 지니고 있다. 이러한 특징을 지닌 변종 프로그램의 주범은 WOOTBOT, AGOBOT, SDBOT, SPYBOT 및 ROBOT 등이다.
트렌드마이크로는 이러한 일련 번호 해킹을 시도하는 웜이 주로 컴퓨터 게임의 일련 번호를 목표로 할뿐만 아니라 시스템을 완전히 제어하거나 Windows 제품 키 및 인스턴트 메시징 로그인 데이터를 도용하기 위해서도 사용된다고 밝혔다.
예를 들어, WOOTBOT는 Yahoo, MSN 및 AOL 인스턴트 메신저를 대상으로, 또한 SPYBOD.X는AOL 인스턴트 메신저를 대상으로 사용자 이름과 암호를 훔친다.
때문에 사용자는 인스턴트 메신저를 통해 대화를 거는 이가 자신이 생각하는 이가 아닐 수 있다는 사실을 염두에 두고 각별한 주의를 기울여야 한다.
이와함께 지난 11월에는 보프라 웜과 TROJ_DELF.HA등의 새로운 유형의 공격이 두 개 더 발견됐다.
보프라(BOFRA) 웜은 이전까지 발표된 바가 전혀 없는 취약성을 공격하는 웜으로, 11월 8일에 당시 관련 패치가 준비되지 않은 Internet Explorer의 IFRAME 보안 허점을 이용하여 제로 데이 공격(zero-day attack)을 개시했다.
보프라 웜은 전자 메일을 통해 전파되며 자신의 복제 파일을 전자 메일에 직접 첨부하여 보내는 일반적인 방법을 쓰는 대신 이 웜은 "웹캠으로 찍은 새 동영상과 사진을 제 웹 사이트에서 보세요!" 또는 "무료 성인 비디오! 지금 등록하세요!"라는 선정적인 제목의 전자 메일을 전송하여 사용자를 유혹한다.
이러한 전자 메일은 사용자를 IFRAME 공격이 포함되어 있는 감염된 웹 사이트로 이동시킨다. 이 공격은 원격 사용자가 손상된 시스템에서 악의적인 작업을 수행할 수 있도록 허용한다.
다행스럽게도 보프라 웜은 경보 상황을 초래할 만한 대량 감염을 일으키지는 못했지만 상당히 복잡한 확산 기술로 언론의 주목을 받았었다.
또 다른 하나는 TROJ_DELF.HA라 불리는 트로이목마로, 감염된 시스템을 플랫폼으로 사용하여 여러 웹 사이트에서 SMS.txt라는 텍스트 파일을 다운로드한 후 SMS(단문 메시지 서비스)를 통해 스팸 메시지를 휴대폰에 무작위로 전송한다.
트렌드마이크로는 사용자들에게 웹 사이트에서 전자 메일 계정이나 다른 개인 정보를 입력하도록 요구할 때 주의하도록 당부한다. 이는 단순히 스패머가 전자 메일 주소를 수집하는 방법일 뿐만 아니라 무료 SMS 스패머가 스팸 메시지를 모바일 폰에 전송하는 데 사용하는 방법이 되어가고 있다. 이 서비스에 이미 등록하였다면 전자 메일 계정 이름과 암호를 가능한 빨리 바꾸는 것을 고려해야 한다.
이밖에 11월 한달간 바이러스 TOP 10에는 넷스카이 변종이 5개가 차지, 여전히 강세를 보이고 있다.
트렌드마이크로 이상규 부장은 “가장 먼저 알 수 없는 파일을 다운로드할 때 조심해야 한다”며 “트렌드마이크로의 개인 사용자용 백신 프로그램인 PC실린 인터넷 시큐리티 2004(PC-cillin Internet Security 2004)에 포함된 ‘어드밴스 스파이웨어 감지 및 제거’ 기능과 같이 다양한 스파이웨어, 애드웨어 및 악성 쿠키를 감지 및 제거해주는 보안 소프트웨어를 사용할 것”을 권장했다.
11월의 주요 바이러스 이슈
- 소버(Sober), 5개월의 잠복기를 지나 마침내 유럽 강타: 대량으로 메일을 발송하는 소버 웜이 5개월 동안의 잠복기를 마치고 지난 11월 19일 갑자기 활동을 개시해 독일, 프랑스 및 오스트리아에서 수천 대의 컴퓨터를 감염시켰으며, 이에 따라 바이러스 방역 회사는 중간 등급의 위협 경보를 발령했다.
- 두 개의 베이글(Bagle) 변종, 출현과 동시에 세계 전역 휩쓸어: 2004년 10월 19일에 출현한 두 개의 베이글 변종 바이러스가 삽시간에 세계 전역을 휩쓸며 중간 등급의 바이러스 발생 위험을 일으켰다. 다단계 공격의 조짐이라 볼 수 있는 두 변종 바이러스의 계속된 출현은 감염을 극대화하기 위해 다양한 공격 방법을 시도하는 베이글의 속성을 여실히 보여준다.
- 넷스카이(NetSky), 상위 10개 바이러스 중 6개 차지: 트렌드마이크로 WTC(Worldwide Tracking Center, 전세계 추적 센터)의 실시간 온라인 바이러스 추적 데이터에 따르면 넷스카이가 지난 5개월간 어떠한 주요 경보도 일으키지 않았음에도 불구하고 그 변종이 885,159대의 컴퓨터를 감염시켰으며 11월의 가장 우세한 악성 프로그램 10대 목록에서 6개 자리를 차지했다고 한다. 넷스카이.P는 지금까지 나온 넷스카이 변종 중 가장 우세한 것이다. 이전까지 상위 10대 바이러스 목록의 단골이었던 새서(SASSER) 웜은 이 목록에서 완전히 사라진 것처럼 보인다.
- 웜의 부상 및 봇 프로그램의 강세: TrendLabs은 11월 한 달 동안 1,564개의 악성 프로그램을 문서화하여 발표했으며, 이는 이전 달에 비해 14% 가량 감소한 것이다. 트로이목마는 검색된 것 중에 큰 비중을 차지하여 전체 수치의 42%에 이르렀다. 백도어 프로그램은 트로이목마와 함께 11월에 검색된 총 바이러스의 50%를 차지했다. 그러나 새로 발견된 913개의 악성 프로그램 위협 중 웜이 무려 전체의 47%를 차지하며 1위에 올랐다. 봇 프로그램은 총 검색된 웜의 70%를 차지하였다. 이러한 사실은 금전적 이득 외에도 다른 동기로 인해 악성 프로그램 제작자가 소프트웨어 등록 키를 훔친다는 결론에 이르게 한다.
- IE 취약성에 대한 제로 데이 공격: 2004년 11월 8일 발견된 보프라 웜은 확산을 위해 패치가 제공되지 않은 Internet Explorer의 IFRAME 보안 허점을 이용하는 제로 데이 공격 가능성의 첫 신호가 되었다. 보프라 웜은 경보 상황을 초래할 만한 대량 감염을 일으키는 데 실패하였지만, 상당히 복잡한 확산 기술 덕분에 언론의 주목을 받을 수 있었다.
- 휴대폰에 대한 SMS 공격: 2004년 11월 11일에 발견된TROJ_DELF.HA 트로이목마는 감염된 컴퓨터를 플랫폼으로 사용하여 SMS를 통해 스팸 메시지를 휴대폰에 전송한다. 트로이목마는 감염된 시스템에서 인터넷 연결을 확인한 후, 다수의 러시아 모바일 네트워크 웹 사이트에 액세스하기 전에 여러 웹 사이트에서 SMS.txt라는 스팸 SMS 메시지를 다운로드하여, 무작위 휴대폰 번호로 메시지를 전송한다. 트렌드마이크로는 트로이목마의 공격 범위가 제한적이었지만 가중하는 무선 보안에 대한 위협은 심각한 문제가 되고 있다고 지적했다. 메모리에 상주하는 트로이목마는 다른 악성 프로그램에 업혀오거나 부주의한 사용자에 의해 직접 설치되는 방법으로 시스템에 침입한다.
웹사이트: http://www.trendmicro.co.kr
연락처
트레이 이지영 722-7697
-
2006년 12월 21일 11:22