국내외 백신업계, 님다(Nimda) 바이러스 대책 분주

국내외 백신업계가 전세계적으로 급속히 번지고 있는 ‘님다(Nimda)’ 바이러스에 대한 대책 마련에 분주하다.

안철수연구소, 하우리, 디지탈이지스(에프시큐어 제품 공급업체) 등은 '님다(Worm.Win32.Nimda.A)' 웜이 국내에 유입돼 급속히 전파되고 있어 각별한 주의를 요한다고 19일 발표했다.

백신업계는 18일부터 피해 신고 접수를 받기 시작했으며, 백신 제품을 긴급 업데이트하고 있다.

◆'님다'란 어떤 바이러스인가

님다(I-Worm.Win32.Nimda.A)는 바이러스 메일을 클릭해서 열어보는 순간, 첨부된 바이러스 파일이 자동으로 실행돼 곧바로 감염시키는 악성 바이러스다.

메일에 첨부된 Readme.exe(파일크기 57,344바이트)는 마치 Wav(웨이브) 파일인것 처럼 사용자를 속인다.

일단 감염되면, 받은 편지함에서 새로운 이메일 주소를 찾은 후, 웜 자체에 내장된 SMTP를 통해 바이러스 메일을 계속 발송한다.

가장 큰 특징은 복합적인 경로로 확산된다는 점. 일반 웜처럼 이메일을 통해 확산되며, 코드블루웜(CodeBlue worm) 기능까지 흉내내 보안패치가 설치되지 않은 IIS를 통해 확산되기도 한다.

펀러브( Win32.FunLove.4099)처럼 네트워크를 통해 감염이 일어나기도 한다.

안철수 연구소 관계자는 "님다의 첨부파일은 readme.exe를 비롯해 다양하며, 내부에 P.R China라는 메시지가 있는 게 특징"이라며 "MS Web Folder Transversal 취약점과 MS content-type spoofing 취약점을 이용한 웜"이라고 밝혔다.

◆감염시 피해는

감염되면 메일발송 이 외에 특별한 파괴기능은 없다. 하지만 확장자가 *.htm, *.html, *.asp 파일이 변경되며, IIS 기능을 구동하는 웹서버를 무작위로 공격하므로 엄청난 네트워크 트래픽을 일으켜 시스템이 다운될 위험이 있다.

◆'님다'에서 자유로와지려면

사용자는 http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp 사이트를 방문해 ms01-020 패치를 다운로드 해야 한다. 윈도 2000 시스템 사용자는 MS00-078패치까지 설치해야 '님다'를 막을 수 있다.

만약 감염되었다면, 하우리·디지탈이지스 등 관련 업체 홈페이지에서 업데이트된 백신으로 치료하거나 체험판을 이용하면 된다.

◆백신업체 대책 마련 나서

하우리(대표 권석철 www.hauri.co.kr)는 자사 바이러스 백신인 바이로봇의 엔진을 긴급 업데이트했다. 11시 현재 신고 접수된 수는 90여건.

권석철 사장은 “메일만 열어보아도 감염이 일어나는 바이러스인 만큼, MS 아웃룩 등의 메일 프로그램을 사용하는 경우, ‘내용 미리보기’ 기능을 해지 하는 등의 각별한 주의가 필요하다"고 당부했다.

또 "네트워크를 통해서도 감염이 일어나므로 공유 파일을 해제하거나, 쓰기 권한을 제한해야 한다 ”라고 말했다.

안철수연구소(대표 안철수 www.ahnlab.com)도 19일 오전 11시 현재 백신 엔진 업데이트를 진행하고 있으며, 오늘내로 발표할 예정이다. 오전 10시까지 접수된 피해는 100여건.

핀란드 에프시큐어의 백신을 공급하는 디지탈이지스(대표 노재일 www.aegis.co.kr)도 ‘님다’ 주의보를 발령했다.

디지탈이지스측은 "님다는 첨부파일을 여는 순간 감염되는 등 보안의 사각지대를 이용하여 여러 경로로 유포되고 있다"며 주의를 당부했다.