천안함 악성코드 또 발견 "천안함 아무거나 다운받지 마세요"
2010-07-26 유성용 기자
글로벌 통합보안 기업인 안철수연구소는 26일 최근 북한과 미국, 천안함 등 정치적 이슈로 위장해 사용자를 현혹한 뒤 악성코드가 설치되는 사례가 국내에서 발견됐다고 발표했다. 안철수 연구소 측에 따르면 이 악성코드는 이메일에 첨부 파일로 전파되며 파일명은 `NKorea demands its own probe into ship sinking.RAR' 또는 `US announces new sanctions against North Korea_doc.RAR'이다.
압축을 풀어 파일을 실행하면 MS 워드 문서(.DOC)가 열리지만 실제로는 .SCR 확장자를 가진 악성코드가 실행된다. 이후 시작 프로그램에 `testest.doc', `IEXPL0RE.EXE', `IEXPL0RE.LNK', `msapi.sys' 파일이 생성된다.
testest.doc 파일은 `SEOUL, South Korea-North Korea's military renewed calls to conduct ~'라는 내용이 담겨있다. IEXPL0RE.EXE 파일은 중국의 특정 IP로 접속해 다른 악성코드를 내려받아 자동 실행하는 기능을 갖고 있다.
또 IEXPL0RE.LNK 파일은 IEXPL0RE.EXE의 바로가기 아이콘이며, msapi.sys 파일은 키보드로 입력되는 정보를 저장하는 기능이 있다.
천안함 관련 악성코드는 지난 3월에도 등장한 바 있다. `Dozens missing after ship sinks near North Korea'라는 메일 제목에 악성코드를 유포하는 웹사이트 주소가 링크돼 있었다.
이런 악성코드의 피해를 입지 않으려면 수신인이 불명확한 이메일 수신 시 본문에 포함된 웹사이트 링크를 함부로 클릭하지 말아야 한다. 개인 사용자는 PC주치의 보안 서비스인 V3 365 클리닉과 무료 백신 V3 Lite를, 기업 내 PC 사용자는 V3 IS 8.0과 V3 Net 7.0을 사용해 악성코드 감염을 예방·치료할 수 있다. <사진-연합뉴스>