'백도어/트로이안'관련 바이러스 급속 확산.. 뉴테크웨이브

뉴테크웨이브(대표 김재명 www.viruschaser.com) 연구소는 12일 최근 확산되고 있는 바이러스에 대한 분석을 실시한 결과 '백도어와 트로이안'관련 바이러스가 급속하게 확산되고 있다고 발표했다.

이번 분석은 바이러스체이서 서포터즈를 대상으로 실시간 시스템 감시가 작동중인 약 7,000여대의 컴퓨터를 통하여 분석된 것. 서포터즈 회원은 약 95% 이상이 국내 사용자이며, 나머지 5%정도는 미국과 유럽에 설치된 컴퓨터에서 수집한 정보다.

최인식 연구소장은 "현재 급속히 확산되고 있는 백 도어/트로이안과 관련 바이러스는 이미 널리 확산되어 있는 고전 바이러스(FunLove, Nimda, Klez)에 비해 피해정도가 더 심각하다"고 밝혔다.

또 "백 도어/트로이안 관련 바이러스는 기존의 바이러스들과 달리 감염된 사실을 사용자가 거의 알지 못하며, 단순히 사용자 컴퓨터 속도를 늦게 하거나 파일을 파괴하는 것에 비해 사용자의 정보가 유출되므로 더 심각한 피해를 줄 수 있다"고 경고했다.

즉 자신이 어떤 피해를 당하고 있는지를 전혀 알지 못하며, 바이러스 대부분이 메일과 같이 사용자 조작에 의해 감염되는 것이 아니라 원격지 컴퓨터에서 직접 침투돼 감염되는 것이기 때문에 급속히 확산되고 있다는 것이다.

◆빨라진 확산력

2003년 3월 10일 처음 발견된 딜로더(Win32.HLLW.Deloder, BackDoor.Deloder)는 단 하루 동안 약 200 여대의 컴퓨터에서 10,000여 개의 파일이 발견되었다. 확산력이 슬래머에 비교할 수 없지만, 지금까지 메일등의 매개체를 통하여 확산 되는 웜에 비할 수 없을 정도로 빠르게 확산된다.

◆신종 바이러스

최근 1주일(3월5일부터 3월11일) 동안 발견된 신종 바이러스의 동향을 보면 대부분이 백 도어/트로이안과 관련된 바이러스다.

이들 대부분의 바이러스들은 변종이 워낙 많아 안티 바이러스 업체에 따라 샘플입수가 제때 이루어 지지 않기 때문에 사용중인 안티 바이러스 패턴(엔진)이 최신으로 업데이트 되어도 바이러스를 차단 할 수 없는 경우가 있다.

◆지속적인 확산

BackDoor.IRC.Sdbot.based 바이러스는 약 3개월 전부터 Windows 2000 사용자를 중심으로 폭 넓게 확산되어 있다.

그러나 워낙 변종이 많아 일부 안티 바이러스 프로그램을 제외 하고는 거의 차단을 하지 못한다. 많은 안티 바이러스 프로그램이 검색을 하지 못하는 것으로 확인되고 있어 확산 속도가 갈수록 증가되고 있다.

이미 오래 전부터 널리 퍼져있는 Win32.FunLove.4608, Win32.HLLW.Nimda.57344, Win32.HLLM.Klez.4, VBS.Redlof, Trojan.Seeker 등에 감염되는 비율도 거의 떨어지지 않고 있지만, 최근에 발견된 IRC.Mimic, Trojan.Flood.22016, BackDoor.IRC.Sdbot.based, BackDoor.IRC.Critical, BackDoor.IRC.based등 백 도어/트로이안 관련 바이러스가 급속히 확산되고 있는 것으로 미루어 보아 지금까지의 관련 기관의 바이러스 정책이나 안티 바이러스 업계의 차단 방법이 효과적이지 못하고 있는 것으로 분석된다.