공개 트래커를 이용해 퍼지는 신종 악성코드

최근 신종 웜 악성코드가 세계 최대 공개 트래커인 TPB를 통해 유출되고 있는 것으로 알려져 눈길을 끌고 있다. 지난 10일, 세계적 컴퓨터 보안 전문 기업인 트렌드마이크로의 연구 및 개발 전문팀인 트렌드랩스(TrendLabs)에서 작성된 블로그 포스팅에 의하면, 이번에 발견된 웜 ‘WORM_PITUPI.K’는 기존 P2P 네트워크를 통해 전송되던 웜들과는 다른 성격을 지니고 있어서 상당히 빠른 속도로 대다수 컴퓨터에 침입할 수 있다고 한다 . 이번 기사에서는 그 다른 점이 무엇인지 먼저 살펴보고 이번에 새로 출현한 웜의 전송 방법을 살펴보겠다.

올해 초에 등장한 가짜 저작권 위반 경고 메시지

사실 이번 웜이 출현하기 전 지난 한두 달간 해외 비트토렌트 커뮤니티를 시끌벅적하게 만든 또 다른 악성코드인 ‘Rogue:W32/DotTorrent’를 알아볼 필요가 있다. 개인정보 유출을 목적으로 만들어진 이 악성코드는 토렌트 사용자들의 컴퓨터에 침입한 후 트로이 목마를 실행해 이러한 경고 메시지를 띄웠다:

전혀 존재하지 않는 단체인 ICPP는 자신들을 스위스에 위치해 있는 안티P2P 단체라고 칭하며, 마치 미국의 RIAA, MPAA등과 협력한다는 듯이 각 단체들의 로고까지 맬웨어에 포함했다. 현재는 폐쇄 되었지만 심지어 허위 공식 사이트까지 제작 하는 등 대단한 근성(?)을 보였다. 어떻게 보면 우스꽝스럽기까지 한 이 신종 사기는 바이러스 검사 프로그램을 가장한 악성코드들과 비슷한 예로 볼 수 있겠다. 위 그림에서 보이듯이 해당 경고 메시지는 합의금으로 400달러 (한화 약 45만원)를 지불할 것을 요구 했고, 또한 이러한 명목으로 이름, 주소, 신용카드번호 등의 개인정보를 탈취하려고 시도했다.

신종 웜 ‘WORM_PITUPI.K’

그렇다면 앞서 언급한 사례와 이번에 등장한 신종 웜의 관계는 무엇일까?

일단 이번 사건이 흥미로운 점은 악성코드의 복제 및 전달 과정이다. 기존 비트토렌트를 통해 전송되던 웜들은 각종 소프트웨어 크랙, 시리얼 키젠, 프로그램 파일등으로 위장해 전송되기 일쑤였다. 하지만 이러한 방법에는 한 가지 문제점이 있는데, 바로 한 번 지정된 악성코드의 파일명은 바뀌지 않는다는 점이다. 따라서 특정 소프트웨어가 더 이상 공유되지 않는다면 악성코드도 함께 전송 될 우려가 없어진다.

하지만 신종 웜의 경우, 한 번 실행되면 TPB에 연결해 트래커에서 가장 인기있는 소프트웨어, 게임(각 카테고리에서 100위권)들의 정보를 이용해 스스로 파일명을 끊임없이 변경 하는 것으로 알려졌다. 또한, 한 번 실행할 때마다 200개의 복사본을 만들어 감염된 컴퓨터와 연결돼 있는 공유 폴더들에게 전송하는 것으로 알려졌다.

전문가들은 허위 경고 메시지 악성코드도 이러한 방법을 이용해 전송된 것으로 추정하고 있다.

혹시 내 컴퓨터도?

대부분 비공개 트래커들을 사용하는 비트토크 멤버들은 걱정할 필요가 비교적 적겠지만, 작년 만우절때 일어난 변종 컨피커 웜을 이용한 대대적인 공격, 그리고 7•7 DDoS 공격을 겪은 한국의 컴퓨터 보안 실태를 감안해 볼 때, 앞으로 이러한 사실을 유의하기 바란다. 만약 감염여부가 의심 된다면 치료방법은 밑의 링크들을 참조하면 된다(영어):

• http://www.f-secure.com/en_US/security/security-lab/tools-and-services/online-scanner/

• http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_PITUPI.K&VSect=Sn

2010년 05월 17일 username 기자, ⓒ빗톡뉴스(bittalk.org)

참조 자료:
- http://www.f-secure.com/weblog/archives/00001931.html
- http://blog.trendmicro.com/pirate-worm-sails-the-p2p-bay/

헐... 이제는 토런트를 이용한 웜까지 등장한건가요...

기사 잘 보고 갑니다.

좋은정보 감사합니다.
공개토런트(특히 외국)에 바이러스파일이 있다는점은 어제오늘일이 아니고, 항상 위험이 존재하고 있었죠

다만, 한가지 염려되는 점이 있는데.....
링크커신 바이러스체크 싸이트가 신뢰할만한 곳이냐는 점이 될것 같습니다.

제가 f-secure에서 체크를 해보니(외국 공개도 조금 씁니다.), 트로얀바이러스가 1건 감염 되었었고
치료가 되어다 메시지가 뜨긴 하는데, 어느파일이 감염되었는지는 알려 주질 않네요
(그냥 넘어간게 아니고 단계별로 확인하면서 넘어감)

국내에서도 바이러스백신에 바이러스/애드웨어/웜 등을 삽입해서 사기치는 업체가 검거된적이
있었는데, 혹 위 싸이트들도 그런 위험이 있을지 염려가 됩니다.

이미 아실지도 모르겠지만 F-Secure 이나 트렌드마이크로는
해외에서 흔히 사용되는 개인/기업용 바이러스 백신 브랜드들이라
걱정하실 필요는 없겠습니다.
트렌드마이크로 같은 경우에는 한국에 진출하기도 했고요.

정작 저는 웹 스캔을 해보지는 않아서 결과가 그렇게 나올지는 몰랐네요.
원래 유료 백신을 개발하는 회사들이니... 웹스캔은 얼마나 좋을지 잘 모르겠네요.

f-secure가 국내에는 잘 알려져있지 않아서 그렇지 괜찮은 백신중 하나입니다.
오진률도 낮은 편이구요.

외국 공개는 이용하지 않지만, 왠지 무섭네요ㄷㄷ
기사 잘 보고 갑니다

dyens said: ↑

제가 f-secure에서 체크를 해보니(외국 공개도 조금 씁니다.), 트로얀바이러스가 1건 감염 되었었고
치료가 되어다 메시지가 뜨긴 하는데, 어느파일이 감염되었는지는 알려 주질 않네요
(그냥 넘어간게 아니고 단계별로 확인하면서 넘어감)

username said: ↑

이미 아실지도 모르겠지만 F-Secure 이나 트렌드마이크로는
해외에서 흔히 사용되는 개인/기업용 바이러스 백신 브랜드들이라
걱정하실 필요는 없겠습니다.
트렌드마이크로 같은 경우에는 한국에 진출하기도 했고요.

thinkbit said: ↑

f-secure가 국내에는 잘 알려져있지 않아서 그렇지 괜찮은 백신중 하나입니다.
오진률도 낮은 편이구요.

지금은 KIS 2010 사용중이지만 전에는 F-Secure 사용했는데 요즘은 어떤가요?
전에 사용했을때는 KIS만큼이나 무거웠던거로 기억하거든요.
혹시 사용중이시면 알려주세요~
KIS 라이센스가 만료되어가고 있어서 어떤걸 써볼까 생각중이거든요 :)

허걱! ㅎㄷㄷ
좋은 자료 감사합니다. 담아갈께요

InnovatioN said: ↑

지금은 KIS 2010 사용중이지만 전에는 F-Secure 사용했는데 요즘은 어떤가요?
전에 사용했을때는 KIS만큼이나 무거웠던거로 기억하거든요.
혹시 사용중이시면 알려주세요~
KIS 라이센스가 만료되어가고 있어서 어떤걸 써볼까 생각중이거든요 :)

에프시큐어는 한때 가볍기로는 ESET사의 Nod32와 견줄정도로 가벼웠습니다만
지금은 과거와 달리 무겁고 진단률이 다른사 제품보다 좀 떨어지는 수준으로 알고 있습니다

좋은 정보 감사합니다.

좋은 정보 고맙습니다.. 한번 검사해 봐야지...

정보 감사합니다

혹시 KIS 로도 검출이 가능한가요

hide said: ↑

정보 감사합니다

스크린샷 감사합니다... 저렇게 결과가 나오는군요.

uperut said: ↑

혹시 KIS 로도 검출이 가능한가요

짐작으로는 아마 발견된지 시간이 좀 지났으니 걸맞게 업데이트를 시키지 않았을까 싶은데.
특히 이번 경우처럼 각 회사 블로그를 통해 일반 사용자들도 알수있게 했으면
아무래도 경쟁사의 전문가들은 더 신경쓰지 않을까 하는...
그냥 아무 근거없는 제 생각입니다만.
:몰라:

좋은정보 감사합니다

정말 좋은 정보인것 같습니다. 감사합니다.

감사합니다

앞으로도 좋은 정보

부탁해요!!!

저 낚시에 목적은 대체 무엇이었을까요...?

좋은 정보 고맙습니다

좋은정보감사합니다 .생각날때마다 체크해봐야겠군요.