새로운 유형의 트로이목마, 전국적으로 기승

네트워크 속도를 늦추고 사이버테러의 가능성도 배제할 수 없는 새로운 유

형의 트로이목마 프로그램이 전국적으로 기승을 부리고 있다.

12일 백신업계에 따르면 주로 스타크래프트 크랙 버전을 사용하는 PC방을

중심으로 전국적으로 러시아에서 제작된 Trojan.Win32.Bymer바이러스가 확

산되고 있는 것으로 밝혀졌다.

이 바이러스는 암호해독용으로 만들어져 제작자가 홈페이지에 어떤 명령을

올려 놓는가에 따라 전국적인 규모의 자료삭제, 정보탈취 등 사이버 테러

의 악의적인 목적으로 사용될 수도 있는 것으로 우려되고 있다.

하우리(대표 권석철)는 국내에 많이 퍼진 Win32.FunLove.4099 바이러스에

대한 조사과정에서 고객들이 네트워크 과부하와 속도 저하를 문의해와 조사

에 착수하게 됐다고 밝혔다.

하우리에 따르면 접수된 Win32.FunLove.4099 감염 신고 80%이상에서 이런

증상이 발견됐다. 하우리는 전국적으로 약 40%정도의 PC에 이 트로이목마

가 침입해 있는 것으로 추정했다.

권석철 사장은 "윈도우 폴더외에 윈도우 시스템 폴더(일반적으로

C:\Windows\System)에도 WININIT.EXE(220672 바이트)가 보이면 바이러스에

감염된 것"이라며 "이 파일은 대략 4만 바이트의 용량을 갖고 있다"고 말했

다.

또 "발견된 트로이목마는 암호화 해독용으로 만들어졌으나 제작자의 의도

에 따라 사이터테러의 수단으로 사용될 수 있다”고 밝혔다.

안철수연구소 역시 신종 바이러스 예보에서 "TROJ_BYMER 등으로 불리는 트

로이목마 바이러스가 국내에서 기승을 부리고 있다"며 "이 바이러스가 실행

되면 임의의 IP 주소로 C 드라이브가 공유된 컴퓨터를 찾아서 감염시키며,

네트워크 속도가 매우 느려진다"고 밝혔다.

◆ Trojan.Win32.Bymer바이러스 개요

이 바이러스는 유명한 게임프로그램인 스타크래프트 크랙 버젼에 포함돼

국내에서는 Win32.Kriz.4050 및 Win32.FunLove.4099에 감염된 상태로 퍼져

나간 것으로 판단된다.

Trojan.Win32.Bymer가 PC에 설치되면, 제작자가 지시한 러시아에 있는 자신

의 특정 홈페이지로 접속하게 되며 제작자가 홈페이지에 올려놓은 지시대

로 암호화 알고리즘을 푸는 동작을 한 후에 다시 정보를 러시아에 있는 홈

페이지로 전송하게 된다.

이 과정에서 트로이목마가 설치된 모든 컴퓨터는 제작자가 원하는 암호의

알고리즘을 푸는 도구로 이용되게 된다.

하우리에 따르면 제작자는 외국의 한 인터넷 업체에서 암호화 알고리즘을

해독하면 제공하는 상금을 위해 트로이목마를 다른 컴퓨터로 전파시킨 것으

로 나타났다.

권석철 사장은 "이 트로이목마 프로그램이 깔린 PC는 암호알고리즘을 푸즌

도구로 활용된다"며 "피해자들의 네트워크가 느려지는 이유는 상금을 건 인

터넷업체가 제작자의 잘못을 간파하고 홈페이지를 폐쇄한 후, 여기로 가는

접속트래픽이 혼선을 겪고 있기 때문"이라고 말했다.

한편 암호해독대회를 연 인터넷 업체는 지난 6일 이를 발견, 바이러스 제작

자를 상금리스트에서 공개 제외시킨 것으로 확인됐다.

하우리와 안연구소는 치료방법과 엔진을 제공하고 있다.

하우리는 10월 12일자 긴급 업데이트에 진단 및 치료엔진을 추가해 사용자

들에게 배포하고 있다.

또 안연구소는 치료방법을 홈페이지의 바이러스 정보 I-Worm/Wininit

(http://home.ahnlab.com/warp/ViewVirus?num=750)를 통해 제공하고 있다.