윈도 실행 파일 감염시키는 '알만.C' 바이러스

이번에 전국의 법원망을 감염시킨 '알만.C(Win32/Alman.C)' 바이러스는 윈도 실행 파일을 감염시키는 바이러스로 알려졌다.

이번 바이러스는 모든 네트워크 공유 자원을 검색해 암호가 없거나 password1, monkey, password, abc123, admin123, 654321, 123456789, 12345, admin 등의 쉬운 암호를 가진 시스템에 Setup.exe라는 이름으로 자신을 복사한다. 실행 가능한 파일이 있는 경우에도 감염된다.

알만.C 바이러스에 감염된 파일을 실행하면 USB 같은 이동식 드라이브에 Boot.exe, Autorun.inf 파일을 생성한다.

알만.C 바이러스에 감염된 PC에는 linkinfo.dll과 nvmini.sys 파일이 생성된다. linkinfo.dll 파일은 Explorer.exe에 자신을 삽입해 다른 파일을 감염시키며 온라인 게임 사용자 계정을 훔쳐낸다고 안철수연구소측은 밝혔다.

또한 공유 폴더로 자신의 복사본을 전파, 일부 악성코드 파일을 삭제하기도 하며 특정 호스트에 접속해 악성 코드로 추정되는 파일을 다운로드하는게 특징이다.

대법원의 의뢰를 받아 치료에 나선 안철수연구소는 자사 백신프로그램인 V3가 이 파일을 'Win-Trojan/Alman.46952'라는 이름으로 진단·치료할 수 있다고 전했다.

또한 nvmini.sys 파일은 은폐 증상을 갖는 악성 코드로 자신과 linkinfo.dll, Boot.exe, Autorun.inf 파일을 은폐하며 V3는 이 파일을 'Win-Trojan/Rootkit.17152'로 진단, 치료중에 있다고 안철수연구소측은 설명했다.

서소정 기자의 다른 기사 보기

• 전국 법원망 바이러스 감염 '사고'

• 법원 전산망 '바이러스' 다운, 8일 대부분 복구