[쿠키 IT] 안철수연구소는 1차 전용백신을 무료 제공한 데 이어 8일 저녁부터 안철수연구소를 비롯한 국내 웹사이트를 겨냥한 2차 DDoS 공격이 발생함에 따라 2차 전용백신을 개발해 9일 새벽 2시부터 무료 제공 중이다.
안철수연구소의 분석 결과 악성코드에 스케쥴러 기능이 설계돼 있었다. 이에 따르면 기존 공격 대상 사이트 중 7개 사이트를 겨냥해 9일 18시부터 10일 18시까지 네이버·다음·파란 메일(mail.naver.com, mail.daum.net, mail.paran.com) 전자정부 홈페이지(www.egov.go.kr), 국민은행(www.kbstar.com), 조선닷컴(www.chosun.com), 옥션(www.auction.co.kr)에 DDoS 공격을 하도록 코딩되어 있다. 공격 대상과 시간은 변종 등에 의해 수시로 변경될 수 있다.
★ 안철수연구소 전용백신
★ 하우리 전용백신
★ 카스퍼스키랩 전용백신
★ 잉카인터넷 전용백신
★ 이스트소프트 전용백신
안철수연구소는 좀비 기능을 막기 위해 nls 파일을 차단하는 전용백신(kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1)을 추가 개발해 개인은 물론 기업·기관에도 무료 제공 중이다.
이번에 많은 웹사이트를 다운시킨 악성코드는 마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과, 또 다른 악성코드를 내려받는 다운로더(Downloader.374651), 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE, Agent.32768.AIK, Agent.24576.AVC, Agent.33841, Agent.24576.AVD)들이다. 이들 악성코드가 설치된 PC는 이른바 '좀비 PC'가 되어 일제히 특정 웹사이트를 공격한 것이다.
이 악성코드에 감염되면 PC내 일부 파일이 zip, zoo, arc, lzh, arj, gz, tgz 등의 확장자로 암호화되어 압축 저장된다. 또한 A∼Z 드라이브의 물리적인 첫 시작 위치부터 'Memory of the Independence Day'라는 문자열이 저장돼 있어 정상적인 시스템의 MBR 및 파티션 정보가 손상되는 증상이 발생한다.
한편 안철수연구소 외에 하우리, 카스퍼스키랩 등 국내외 보안업체들도 전용 백신을 무료로 제공 중이다.
하우리는 '제너릭(generic)방식을 적용한 전용백신'을 배포 중이다. 제너릭(generic)방식의 전용백신이란 변종 바이러스에 대한 샘플 진단 및 치료가 가능한 진단 방식을 의미한다.
일반적인 전용백신은 해당 시간까지 접수된 악성코드만 진단·치료할 수 있다. 그러나 제너릭 방식이 적용된 전용백신은 차후에 발생되는 변종 악성코드에 대한 샘플 수집 없이도 예방 및 진단·치료가 가능한 것이 특징이다. 국민일보 쿠키뉴스 김현섭 기자
hrefmailtoafero@kmib.co.kr