원격 제어 프로그램을 몰래 설치하는 신종 웜 국내 유입

원격 제어 프로그램을 사용자 몰래 설치하는 신종 웜 '딜로더'가 국내 유입됐다.

이 웜에 감염되면 컴퓨터의 정보가 유출되고, 네트웍에 과부하가 걸릴 수 있다.

안철수연구소(대표 안철수 www.ahnlab.com)는 원격 제어 프로그램을 사용자 몰래 설치해 정보를 유출하는 신종 웜 '딜로더'가 9일부터 미국, 중국에서 확산된 데 이어 10일 국내에서도 신고가 접수되었다고 발표했다.

웜 파일이 실행되면 원격 제어 프로그램인 VNC(explorer.exe, 212,992바이트)를 설치해 백도어로 악용하며, IRC 서버에 접속하는 프로그램 (rundll32.exe)을 설치한다.

그후 윈도우 2000이나 XP의 '관리 목적으로 공유된 시스템'을 찾아 미리 예측한 로그인 비밀 번호를 이용해 접속을 시도한다. 이 때 로그인 계정이 취약하면 감염된다.

관리 목적으로 공유된 시스템은 445번 포트를 이용하므로 445번 포트의 트래픽이 많이 발생할 수 있다.

시큐리티대응센터 조기흠 센터장은 "최근 윈도우 2000 계열의 공유 기능을 이용해 침투하는 웜이 늘어나고 있다. 부팅 시 암호를 한글과 영어, 특수 문자를 섞어 자신만의 고유한 암호를 입력하는 것이 안전하다"고 설명했다.

◆관리 목적으로 공유된 시스템을 노리는 악성 코드의 현황

2002년 9월 MircPack 트로이목마가 처음 접수되면서 윈도우 2000 / XP의 관리 목적으로 공유된 폴더에 대한 악성 프로그램에 대한 문의가 증가하기 시작했다.

윈도우 2000 / XP는 부팅 시 기존의 윈도우 9x 계열의 OS와 달리 로그인 계정에 대한 확인 작업을 거친다.

그러나 많은 사용자들이 윈도우의 초기 설정인 'Administrator'를 그대로 사용하고 암호를 설정하지 않은 채 사용하고 있다.

이런 경우 혹은 유추하기 쉬운 암호 및 사용자명을 사용하는 경우 암호 및 사용자명을 순차적으로 대입해 컴퓨터에 대한 관리 권한을 얻을 수 있다.

이런 식으로 컴퓨터에 잠입하는 웜이나 트로이목마(넷스프리, Mirc팩 등)에 감염되면 컴퓨터의 정보가 외부로 유출되며, 기업의 경우 심하게는 내/외부 네트워크가 마비되기도 한다.

◆윈도우 암호 재설정 방법

-Ctrl+Alt+Del 키를 동시에 누르고 보이는 창의 메뉴 중 '암호변경'을 선택한다.

-안내되는 메시지에 따라 암호를 변경한다. 새로운 암호를 적용 시 유추하기쉬운, 예를 들어 1234, Admin, root 등의 암호는 절대 사용하지 말고 한글과 영어, 특수 문자를 섞어 자신만의 고유한 암호를 입력하도록 한다.

(02)2186-8902.