Home > 전체기사
‘2090 바이러스’ 윈도우 취약점 악용 빠르게 확산
  |  입력 : 2009-02-11 11:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
“MS윈도우 취약점을 통해 빠르게 확산되고 있어”


하우리(대표 김희천 http://www.hauri.co.kr/)는 ‘2090 바이러스’가 MS윈도우 취약점을 통해 빠르게 확산되고 있어, PC 사용자의 각별한 주의가 요구된다고 11일 경고했다.


‘2090 바이러스’로 알려진 이 악성코드에 감염되면 윈도우 시스템 시간이 ‘2090년 1월 1일 오전 10시’로 나타나는 증상을 발견할 수 있다. 하우리 진단명은 ‘Trojan.Win32.Crypt.15872.B’이다.


이 바이러스는 윈도우 시스템 폴더(c:\WinNT\system32 또는 c:\Windows\system32) 안에 system.exe파일을 생성하여 실행된다.


악성코드가 실행되면 ‘81714.sys’, ‘107.exe’, ‘5684333’처럼 파일명이 숫자로만 이루어져 있고, 확장자는 없거나 exe, sys 등으로 구성된 파일들을 랜덤하게 생성한다.


감염시스템에서 악성코드의 생성과 실행 과정에서 메모리를 과다하게 사용하여 시스템이 다운되도록 만든다. 악성코드에 감염되면 userinit 레지스트리에 추가 등록되기 때문에 재부팅 후에도 실행되도록 되어있다.


시스템 날짜가 2090년 1월 1일로 변경된 시스템이 다운된 후 감염됨 PC를 재부팅하면 사용자 계정에 로그인 시 자동으로 로그아웃되어 정상적인 시스템을 사용할 수 없게 된다.

 

▲ 2090 바이러스 감염 후 임시 폴더에 생성된 악성코드 화면(숫자 5글자.sys).

 

▲ 2090 바이러스 감염 후 시스템 폴더에 생성된 악성코드 화면(숫자 7글자-확장자 없음, 숫자 3글자.exe).

 

현재 이 바이러스는 MS08-067취약점을 이용하여 TCP 445 포트를 스캔하여 대상 시스템에 취약점이 존재하면 익스플로잇 코드를 전송하여 전파시킨다. 또한 빠른 확산을 위해 이동식 디스크로 전파될 수 있도록 Autorun.inf 파일과 explorer.exe를 생성하며 네트워크로 공유된 공유폴더로도 확산이 가능하다.


그 뿐 아니라 이 바이러스는 동일 네트워크에 존재하는 컴퓨터에 Ping을 보내고, 445포트를 이용한 취약점 스캔을 하기 때문에 네트워크에 과부하를 초래한다.


이에 황재훈 하우리 보안대응센터 바이러스팀 선임연구원은 “일반 사용자의 경우 시스템 날짜를 먼저 확인하고, 바이로봇 최신 엔진 업데이트 버전을 유지해야 하며, 기업 고객의 경우에는 전파되는 것을 막기 위하여 감염된 PC의 네트워크를 차단한 후, 전용백신을 설치하여 PC를 치료한 다음 네트워크에 연결하는 것이 바람직하다”고 권고했다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)