에프시큐어 국내 총판인 시머스(대표 강호신 www.simus.net)는 17일 새로운 리눅스 웜인 '슬래퍼(Linux worm Slapper)'가 국내에 유입돼 각별한 주의를 요한다고 발표했다.
네트워크 웜의 일종인 이 바이러스는 'OpenSSL+Apache' 웹이 동작하는 리눅스 머신을 공격, 한 시스템이 이 웜에 공격하면 새로운 시스템으로 확산되는 것이 특징이다.
에프시큐어는 9월 14일 20시 30분 세계 최초로 백신 업데이트를 완료했다고 시머스 측이 밝혔다.
◆슬래퍼의 일반적인 특징
'슬래퍼'는 리눅스 머신에서 감염 전파되는 네트워크 웜으로, 2002년 8월 발견된 OpenSSL 라이브러리에 대한 결함을 이용한다.
9월 14일 저녁 동유럽 지역에서 발견됐으며, OpenSSL + Apache 웹이 동작하고 있는 리눅스 머신을 감염시킨다.
인터넷 웹 사이트 중 60% 이상이 아파치 웹 서버를 사용하고 있다. 또한 SSL은 대부분 온라인 상품 판매, 은행 애플리케이션에서 많이 사용하고 있다. 이에 따라 '슬래퍼'의 위험성이 증가하고 있다.
시머스 측은 "이 웜은 peer-to-peer에 기반한 네트워크 공격 코드를 가지고 있으므로 감염된 시스템은 분산 서비스 거부 공격(DDoS)에 이용될 수도 있다"고 밝혔다.
또한 레드햇(Red Hat), 수세(SuSe) 등의 리눅스 배포판을 운영하는 인텔 기반 서버에서 동작한다. OpenSSL이 0.96d 이전 버전이면 웜에 감염된다.
이밖에 기본적인 동작 방식이 전세계적으로 많은 피해를 입힌 코드레드웜과 유사한 것도 특징이다.
◆제거 방법은
'.bugtraq'이라는 프로세스가 활성화돼 있다면 웜에 감염된 것이다. 이 프로세스를 종료시키고 임시 디렉토리에 생성된 다음 파일을 삭제함으로써 웜을 제거할 수 있다.
/tmp/.uubugtraq /tmp/.buqtraq.c /tmp/.bugtraq
Apache 웹 서버는 셧 다운시킨 후, 재감염을 방지하기 위해 OpenSSL 라이브러리를 0.9.6e 이후 버전으로 업그레이드해야 한다.
-OpenSSL 보안 권고문: http://www.openssl.org/news/secadv_20020730.txt
-CERT(r) 권고문: http://www.cert.org/advisories/CA-2002-23.html
-각종 리눅스 벤더의 보안 권고문:
Debian: http://www.debian.org/security/2002/dsa-136 Mandrake: http://www.mandrakelinux.com/en/security/2002/MDKSA-2002-046.php RedHat: http://rhn.redhat.com/errata/RHSA-2002-155.html SuSE: http://www.suse.com/de/security/2002_027_openssl.html [Analysis: Sami Rautiainen and Mikko Hypponen, F-Secure Corporation; September 14th, 2002]
김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기