아웃룩 보안 패치가 안된 경우 메일을 읽기만 해도 감염시키는 신종 웜 바이러스 '야하(I-Worm.Win32.Yaha.27648)'가 독일을 중심으로 급속히 전파되고 있다.
이에따라 안철수연구소(대표 안철수 www.ahnlab.com)와 하우리(대표 권석철 www.hauri.co.kr)는 지난 20일 긴급히 엔진을 업데이트하고, 주의보를 발령했다.
아직 국내에선 발견되지 않았지만, 17일 외국에서 처음 보고된 후 19일(현지날짜) 독일 등 유럽을 중심으로 급속히 확산되고 있기 때문이다.
'야하'는 메일로 전파되는 웜 바이러스로, 메일 제목, 본문, 첨부파일명을 수시로 바꾼다. 또 감염시 아웃룩, MSN 메신저, Yahoo 페이저, ICQ 등에 등록된 사용자의 메일주소로 발송한다.
임시 인터넷 파일 폴더에 있는 확장자가 *.htm, *.html로 시작하는 파일에서 메일 주소만을 추출해 발송하는데, 이는 PC 사용자가 어느 웹 사이트를 방문하면 이전에 그 사이트를 방문했던 사람의 주소로도 메일을 발송할 수 있다는 것을 뜻한다.
특히 맥아피(MCAFEE) 노턴(NORTON), AVP32 등 특정 백신이나 개인방화벽이 있을 경우 강제 종료하는게 특징이다. 이는 클레즈.H와 유사한 점.
백신의 특정 프로세스가 강제 종료되고 'U r so cute today #!#!' 등의 문장이 반복적으로 출력되면서 모니터 화면이 흔들리는 것이다.
마치 첨부된 파일이 스크린세이버인 것처럼 위장하는 것인데 이 경우 마우스나 키보드를 움직이면 정상적으로 돌아온다.
'야하'가 발송하는 메일의 제목과 내용은 임의로 선택된다. 따라서 사용자는 “Fw:”라는 제목뒤에 "to ur friends", "to ur lovers", "for you", "to see" 등이 오면 바이러스이므로 주의해야 한다.
권석철 하우리 사장은 “현재까지 국내 유입되지 않았으므로, 아웃룩 사용자의 경우 즉시 보안 패치를 하고 백신 사용자는 업데이트를 완료하면 큰 피해는 없을 것으로 예상된다” 고 덧붙였다.
안철수연구소 시큐리티대응센터 조기흠 센터장은 "야하 웜은 빠르게 확산될 수 있는 다양한 기법을 동원한 지능적인 웜"이라며 "앞으로 유사한 웜이 많이 제작될 것"이라고 말했다.
또 "이 웜은 파일을 손상시키는 등의 파괴 기능은 아직 드러나지 않았지만 불필요한 메일로 정신적인 스트레스를 주며 감염된 PC의 사용자는 자칫 바이러스 유포자라는 불명예를 얻을 수 있다"고 설명했다.
/김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기