신형 트로이 목마 형태의 변종 베이글
트렌드마이크로의 바이러스 관제 센터인 트렌드랩(TrendLabs, 필리핀 마닐라 소재)의 2006년 1월 바이러스 분석 자료에 따르면, 최근 신형 트로이 목마 형태의 베이글이 등장해 바이러스 백신을 삭제하는 등 위협의 대상으로 떠오르고 있는 것으로 나타났다.
대량 메일 발송(mass-mailing) 웜인 베이글(Bagle)은 최근 트로이목마 형태의 베이글로 변모하고 있다. 보통 사용자의 호기심을 자극하는 메일을 이용하고 있어 사용자가 첨부된 파일을 열어볼 경우, 대량 메일을 전파하도록 했던 베이글이 바이러스 백신 등을 삭제하는 트로이목마 형태로 변형돼 이메일로 확산되고 있는 것이다.
베이글 트로이목마는 100KB 이하의 소형 파일 형태로, 초급 프로그래밍 언어로 작성됐다. 또 압축 프로그램을 사용해 압축되기 때문에 대부분은 백신 프로그램에 의해 차단하기 어렵다.
이 베이글에 감염되면 사용자는 그 목적을 달성할 수 있는 웜을 다운로드받게 된다. 베이글은 문자열 목록은 물론 웜을 다운로드하기 전에 삭제하거나 종료할 애플리케이션 이름 목록을 이미 가지고 있기 때문에 바이러스 백신 소프트웨어를 종료시키거나 삭제할 수 있는 능력을 갖고 있다. 특히 트로이목마 베이글은 프로세스를 종료시키는 것뿐만 아니라 파일을 삽입하거나 다른 악성코드를 제거하는 기능도 가지고 있다. 따라서 시스템이 재시작될 때 다른 프로그램의 자동 시작 레지스트리 항목을 제거해 실행되지 않도록 한다.
이와 함께 신종 베이글은 애플리케이션이나 프로그램이 이미 실행 중인지를 확인해야 할 경우 mutex라는 고유의 ‘서명’을 생성한다. 하지만 이 트로이목마는 자체 mutex 생성은 하지 않고 다른 애플리케이션이나 프로그램에 의해 사용되는 다른 mutex를 생성한다. 이처럼 트로이 목마가 생성해 놓은 mutex가 확인되면 애플리케이션은 이미 실행 중인 것으로 착각하게 되어 기존 루틴으로 건너뛰게 된다. 이러한 다양한 능력들은 베이글이 과거에는 단순한 다운로더로서 스팸 메일을 발송하는데 지나지 않았지만 이제는 보다 파괴력이 강력한 악성 코드로 발전했음을 의미한다.
최근 주춤했던 베이글이 지능화됨에 따라 사용자들의 베이글에 대한 더욱 세심한 주의가 필요하다.

웜과의 채팅
베이글과 같은 웜만 지능화되는 것이 아니라 악성코드 작성자들의 수법도 점차 교묘해지고 있다. 지난 2005년 12월에는 인스턴트 메신저를 통해 전파된 웜이 전세계에 퍼졌다. 이 웜은 아이엑스봇(IXBOT.A)으로 보통 인스턴트 메시징 애플리케이션을 이용하여 바이러스를 전파하는 완전히 새로운 방식으로 퍼진다.
기존에 메신저를 통해 전파됐던 웜은 수백여 종이었으며, 가장 대표적인 것은 팻소(FATSO.A)와 캘비르(KELVIR.B) 등이다. 이들 웜은 보통 메신저 사용자가 링크가 포함된 인스턴트 메시지를 받고 수신된 링크는 웜의 사본으로 연결돼 사용자가 링크를 클릭하는 순간 즉시 감염되는 형태였다. 하지만 바이러스나 보안에 민감한 사용자가 잘 알지 못하는 링크를 클릭하지 않으면 감염될 우려가 없다. 이러한 메신저 웜과 달리 최근에는 아이엑스봇과 같이 주의 깊은 사용자들도 속아 넘어갈 수 있는 지능적인 챗봇(chatbot)이 등장했다.
지능형 챗봇은 마치 실제 채팅하는 사람처럼 사용자와 대화할 수 있는 인스턴트 메시징 로봇이다. 2001년에 제작된 스티븐 스필버그의 영화 AI(Artificial Intelligence)에서도 마케팅 방법으로서 유사한 챗봇 기술을 사용한 바 있다. 다음은 아이엑스봇 웜과의 샘플 예제이다.



특히 웜이 대상 사용자에게 친숙한 사용자의 ID를 사용하고 있다는 점이 주목할 만하다. 대상 사용자는 채팅 상대를 자신의 친구로 여기게 되며, 상대방은 LOL(크게 웃는 모습을 나타내는 채팅 용어)과 웃음 기호까지 써 가며 링크가 바이러스가 아니라고 안심시킨다.
웜 작성자가 ‘cool pictures(멋진 사진)’ 이라는 미끼를 사용했을 때 이미 상당한 사회 공학적 기법이 적용되었다. 웜이 개인의 메시지에 응답할 수 있는 기술과 결합되면 악성 코드의 루틴은 완성된다.
이 웜의 페이로드에는 백도어 프로그램 설치, 시스템 수정 및 프로세스 종료 등이 있다.
또 새롭게 영향 받는 사용자도 자신의 ID를 사용하여 대화 목록에 있는 다른 사용자들에게 악성 링크를 보내기 때문에 다른 웜의 또 다른 전진 기지가 되는 셈이다. 이 웜은 아메리카 온라인의 AIM 및 AIM Triton과 MSN 메신저를 통해서 전파된다.
트렌드마이크로 바이러스 전문가는 “현재까지는 많은 피해를 주지 않아 큰 문제가 되지는 않았지만, 더욱 파괴적인 여러 유사한 유형의 웜들이 이 기술을 악용하는 것은 시간문제”라고 경고하고 있다.

야후! 겨냥한 피싱 웹 사이트 발견
지난해 12월 포털 사이트 야후를 겨냥한 최신 피싱 웹 사이트가 발견됐다. 이 사례는 피셔(phisher)들이 은행 계좌와 신용 카드 번호만 도용한다고 생각한다면 상당한 오산이라는 것을 보여준다.
아이러니하게도 이 피싱 웹사이트는 실제로 야후! 지오시티(Yahoo! Geocities)에서 호스팅되었다. 또한 이 피싱은 야후! 메신저를 통해 인스턴트 메시지로 유포됐다.
따라서 대상 사용자는 해당 인스턴트 메신저가 아는 사람으로부터 온 것이라고 믿게 되는 것이다. 실제 메시지는 대상 사용자에게 링크를 클릭하여 전송자의 ‘멋진’ 사진을 보도록 유도한다. 링크를 클릭하자마자 피싱 웹사이트로 연결되고 다른 피싱 사이트와 마찬가지로 로그인 페이지가 나타난다.
페이팔(PayPal)이나 이베이(eBay)와 같은 널리 알려진 웹사이트가 피싱의 대표적인 공격 대상이었으나, 앞으로는 이러한 피셔들의 공격이 다양한 웹사이트로 확산될 전망으로 사용자들의 주의가 요구된다.

심비안 악성 코드, 전화번호부까지 도용
새로운 심비안(Symbian) 악성 코드도 최근 발견됐다. 이 심비안 악성 코드는 트렌드마이크로에 의해 SYMBOS_PBSTEAL.A라는 이름이 붙여졌다. 이름이 의미하는 바와 같이 SYMBOS_PBSTEAL은 그 자체로는 감염된 전화기에 손상을 주지 않는다.
그 대신 이 웜은 사용 가능한 모든 온라인 블루투스 기반 장치의 사용자 전화번호부 데이터의 전송을 시도한다. 또한 나아가 휴대폰에 저장해 둔 일정, 중요 알람 기능 및 기타 민감한 정보를 전송하는 데 사용될 우려가 있다.
이 심비안 악성 코드는 사용자가 알면서도 이 악성 코드를 승인하고 설치하도록 유인하기 위해 게임 애플리케이션 및 안티바이러스 소프트웨어로 위장한다. 트렌드마이크로 바이러스 전문가는 사용자가 와레즈, crack 및 homebrew 사이트와 같은 신뢰할 수 없고 잘 알지 못하는 소프트웨어 저장소에서 애플리케이션을 다운로드하고 실행할 때 극도로 주의(EXTREME CAUTION)할 것을 권고한다.

“새 MSN 메신저를 다운로드 하시겠습니까?”
한 악의적인 웹사이트가 버클(WORM_VIRKEL.B) 웜을 유포시키기 위한 미끼로 ‘MSN Messenger 8 Beta’를 사용하고 있는 것으로 나타났다. 트렌드마이크로는 이 웜이 해당 시간대에 온라인 상태인 모든 MSN 메신저 사용자에게 전달될 수 있다고 경고했다.
사용자가 http://msg{blocked}beta8.com/im.php?msn={target recipient’s email address}라는 URL을 클릭하면 새 버전의 인스턴트 메시징 소프트웨어가 다운로드되는 대신 웜이 시스템에 자동으로 다운로드 된다. 이와 동시에 희생자의 대화 상대 목록에 있는 모든 MSN 사용자에게 유사한 악성 URL이 전파된다. URL이 아는 사람을 통해 전송되기 때문에 대부분의 수신자들은 바이러스나 악성코드가 있을 것으로 의심하지 않기 마련이다. 트렌드마이크로는 인스턴트 메시징을 통해 전송된 모든 URL은 전송자에게 먼저 확인하고 클릭해야 하며 모든 감염으로부터 시스템을 보호하기 위해 안티바이러스 소프트웨어를 최신 상태로 업데이트해야 한다고 강조했다.
버클 웜은 해커가 감염된 컴퓨터를 자신의 좀비 PC 봇넷(botnet)에 추가하고 사용자 몰래 추후 명령을 기다리도록 하는 백도어 기능을 가지고 있다. 이 웜은 탐지 또는 제거되는 것을 막기 위해 다양한 종류의 보안 소프트웨어에 해당하는 프로세스를 종료시키며, HOSTS라는 이름의 시스템 파일을 수정하여 희생자가 보안 벤더의 웹사이트에 접속하는 것을 차단한다. 뿐만 아니라 감염된 시스템에 패치를 설치하여 네트워크에 허용 가능한 접속 수를 늘리는 해킹 툴인 HKTL_EVID.A를 투입하기 때문에 이 웜이 더욱 급속히 전파되는 결과가 초래될 수 있다.

지능화된 웜이나 메신저 바이러스 출현
베이글과 같은 기존 웜들도 지능화되는가 하면, 메신저를 통해 전파되는 메신저 웜 또한 점점 더 교묘해지고 있다. 또한 금융관련 사이트를 공격하던 피셔들이, 이제는 유명 포털까지도 공격하고 나섰다. 이러한 지능적이고 교묘하면서도 다양해지는 보안 위협에 사용자들은 더 많은 주의가 요구되고 있는 것이다.
특히 사용자들도 항상 새로워지는 웜이나 보안 위협에 대해서, 최신 백신 패턴이나 보안 패치 유지 등은 물론 능동적으로 대처하는 자세가 필요하다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지