유클린 뉴스

2회해피~투게더, 디지털 세상
목록

'메신저로 전파되는 WMF 코드' 국내 급속확산

안硏, WMF 취약점 이용 악성코드 MSN으로 확산 경고… 윈도 보안패치해야

성연광 기자  |  2006.01.20 11:20
안硏, WMF 취약점 이용 악성코드 MSN으로 확산 경고… 윈도 보안패치해야
윈도메타파일(WMF) 취약점을 이용해 감염되는 악성코드가 MSN 메신저를 타고 국내에 빠르게 확산되고 있어, 이용자들의 각별한 주의가 요구된다.

안철수연구소(대표 김철수 www.ahnlab.com)는 20일 이미지 파일의 일종인 WMF(Windows Meta File) 취약점을 이용해 감염되는 악성코드가 국내에서 MSN 메신저를 타고 급속히 확산되고 있다고 경고했다.

이와 관련, 안철수연구소 시큐리티대응센터는 이날 오전 9시부터 10시까지 1시간 만에 6건의 신고가 들어왔다.

피해자들은 이날 MSN메신저를 통해 특정 인터넷주소(http://www.e??o.i??o/fun/)가 링크된 메시지를 받았다. 이 링크돼 있는 주소에는 악성 봇(Bot) 실행파일(www.e??o.com)과 악성 WMF파일(e.wmf)이 숨겨져있다.

'www.e??o.com' 파일은 악성 IRC 봇 변형으로, 공격자가 감염된 PC의 정보유출은 물론 원격지에서 스팸메일을 발송하거나 다른 시스템을 공격하도록 조정할 수 있는 일종의 해킹 프로그램이다. 또 이 파일은 MSN메진저에 등록된 대화 상대 모두에게 인터넷 주소를 자동으로 보내는 기능도 포함돼 있다.

'www.e??o.com' 파일의 경우, 별도의 보안경고창이 떠 이를 열거나 저장하겠느냐고 묻는다. 이때 ‘열기’ 버튼을 누르면 악성코드에 감염된다.

문제는 악성 WMF파일이다. 'e.wmf'는 윈도 그래픽엔진의 취약점을 이용해 전파되기 때문에 최신 윈도 보안패치를 받지 않은 사용자가 무심코 링크 주소를 클릭하는 순간, 곧바로 실행되기 때문이다.

이 파일에 감염되면, 특정 FTP 서버에 접속해 'b.exe' 파일을 내려받게된다. 현재 분석이 완료되지 않았지만, 이 파일 역시 'www.e??o.com' 과 동일한 악성 IRC 봇일 것으로 안연구소측은 추정하고 있다.

이에 따라 이용자들은 무엇보다 다른 대화 없이 MSN메신저로 들어오는 인터넷 주소를 함부로 클릭하지 말아야 한다. 또한 아직까지 최신 윈도보안패치와 백신 업데이트를 받지 않은 이용자들은 가급적 빨리 이를 조치해야한다.

한편, 이에 앞서 지난 16일 MSN 메신저로 확산되는 WMF 공격 피해가 안철수연구소에 처음 신고된 바 있다.

안철수연구소 시큐리티대응센터 강은성 상무는 “WMF의 취약점을 공격하는 트로이목마는 이제까지 특정 웹사이트를 해킹해 이용자들이 그곳에 접속할 경우 설치되는 방식을 취하는데, 이번에는 지능적인 유인 방법을 더해 MSN으로 특정 웹사이트 주소를 유포해 더 많은 사용자가 접속하도록 했다는 점에서 한층 교묘해졌다.”며 “반드시 윈도 보안 패치를 적용하고 최신 백신으로 진단해 치료해야 한다.”고 강조했다.