시만텍, 스팸 발송 트로이 목마 ‘스톰 웜’ 위협 관련 경고
이 트로이 목마는 2007년 1월 19일 최초로 발견되어 보안 업체들이 이에 대한 대책을 마련했으나, 지난 주말 사이에 악성 소프트웨어 제작자들이 새로운 버전을 지속적으로 만들어 내면서 위협 등급이 높아졌다.
Trojan.Peacomm은 최근 러시아로부터 발원되고 있는 스팸형 트로이 목마 프로그램 중 하나이며, 이 프로그램들은 가짜 주식 정보를 이용하여 저가 주식의 주가 상승을 유인하고 금전적 이익을 취하기 위한 목적으로 제작되고 있다. 공격자는 사회 공학 기술(Social Engineering)을 통해 피해자가 첨부 파일을 열도록 유인하며, 이 첨부 파일은 대체로 흥미로운 최신 이벤트에 대한 비디오 클립의 형태를 띠고 있다.
시만텍 보안 연구소는 이번 Trojan.Peacomm가 지난 2005년 11월에 발생했던 Sober.X와 비슷한 수준으로 빠르게 확산되고 있는 것으로 보고 있다. 이는 바이러스 제작자나 해커들 사이에서 최신 해킹 기술이 전파되는 것과는 무관하게, 최종 사용자의 취약점을 이용하는 전통적이면서 단순한 기술이 여전히 급속한 확산의 위협을 갖추고 있다는 것을 보여주는 것이다. 시만텍 보안 연구소는 다음과 같은 형태를 지닌 불확실한 이메일의 첨부 파일을 열지 말 것을 경고하고 있다.
Trojan.Peacomm은 “230 dead as storm batters Europe (유럽을 강타한 폭풍우로 230명 사망)” 혹은 “British Muslims Genocide (영국 내 무슬림 대량 학살)” 등 다양한 제목의 비디오 클립을 첨부한 이메일을 통해 전파되고 있다. 사용자가 해당 첨부 파일을 클릭할 경우 컴퓨터는 트로이 목마에 감염되어 원격 주소지로 연결을 시도하게 되며, 궁극적으로는 감염된 호스트를 사용해 방대한 양의 스팸을 발송하게 된다. 시만텍 보안 연구소의 관찰 결과에 따르면 1분당 평균 3,500개의 스팸 메시지가 발송됐다.
노턴 안티바이러스와 노턴 인터넷 시큐리티 제품군에 포함되어 있는 시만텍의 신기술인 SONAR (Symantec Online Network for Advanced Response)은 해당 위협이 본격화되기 이전인 지난 주 초에 이미 Trojan.Peacomm가 사용자 컴퓨터에 남긴 지원 파일의 활동 증가를 탐지한 바 있다. SONAR은 일종의 조기 경보 시스템과 같은 역할을 하여, 시만텍 보안 연구소로 하여금 Trojan.Peacomm이 남긴 지원 파일 탐지 및 제거를 위한 정의를 생성할 수 있도록 했다. SONAR는 해당 트로이 목마의 지원 파일 변동에 관계 없이 Trojan.Peacomm가 다운로드를 시도하는 모든 관련 파일을 지속적으로 관찰 및 보고하고 있다.
보다 자세한 정보는 아래 웹사이트에서 제공된다.
http://www.symantec.com/enterprise/security_response/index.jsp
시만텍 보안 연구소는 계속해서 이번 위협을 모니터링 및 분석해 고객들에게 알리고 필요한 업데이트 및 보안 컨텐츠를 제공할 예정이다.
