이번 공격의 특징은 업계에서 전용으로 사용하는 특정 메신저를 통한 감염과 최근에 중국 정부에서 구글(Google) 등의 대규모 해킹 공격에 사용된 것으로 알려진 Microsoft Internet Explorer 제로데이(0-Day) 취약점을 이용한 것이 아닌가 생각됩니다.
이번의 경우 제한적인 사용자를 목표로 미스리 메신저 서비스 서버 취약점을 이용한 변조를 통해 메신저 상에서 노출되는 공지창을 통해 사용자 컴퓨터를 감염시킨 것으로 보입니다.
- <안철수연구소> 미스리 악성코드 전용백신 긴급배포 (2010.1.19)
- <하우리> [보도자료] ㈜하우리, 증권사 ‘미스리 메신저’ 악성코드 감염주의보 (2010.1.19)
- <nProtect> Mi3 메신저로 유포된 악성코드 주의 (2010.1.19)
- <알약> 미스리 메신저를 통한 악성코드 감염 주의 (2010.1.19)
국내 보안업체에서는 해당 악성코드 분석을 통해 현재 알려진 악성코드 진단명의 경우 안철수연구소(AhnLab)는 Win-Trojan/ADS.13328, Win-Trojan/AvKiller.36864 진단명, 하우리는 Trojan.Win32.KillAV.24554 진단명, nProtect는 Script-JS/W32.Agent.TU 진단명 등으로 진단을 하고 있는 것으로 알려져 있습니다.
진단명을 통해 유추해보면 Internet Explorer 취약점을 이용한 악성 스크립트(Script-JS/W32.Agent.TU)를 통해 추가적인 다운로드가 발생하며, 설치된 악성코드는 사용자 컴퓨터에 설치된 보안제품을 무력화(Win-Trojan/AvKiller.36864)하여 진단을 우회하고, 인터넷 접속 불가현상(Win-Trojan/ADS.13328) 등을 야기할 것으로 생각됩니다.
안철수연구소에서는 Win-Trojan/ADS 전용 백신을 통하여 감염으로 인한 치료를 지원하고 있으며, 바이러스체이서에서는 감염으로 인한 Winsock 변경을 통한 인터넷 접속 문제를 수동으로 복구하는 방법을 공개하고 있습니다.
또한 이스트소프트(ESTSoft) 알약(AlYac)에서도 V.TRJ.KillAV.36864 전용 백신을 제작하여 배포를 시작하였습니다.
- <VirusLab님 블로그> 증권가 '미스리 메신저' 바이러스 논란 (2010.1.19)
- <처리's Blog> "미스리 메신저(MissLee)"로 전파된 바이러스 분석 (2010.1.19)
언론에서는 이번의 경우 해당 메신저 서비스 업체에서 초기에 악성코드 감염을 통한 문제 제기가 있을 때, 제대로 사실을 알리지 않아서 대처가 늦어진 것이 아닌가 의심하고 있으며 현재 해당 서비스 업체 웹 사이트에서는 공지문조차 없는 것을 봐서는 사후대처에 문제가 있어 보입니다.
일반 사용자의 경우 해당 메신저를 사용하지 않아서 이번 공격에 직접적인 피해는 없을지도 모르지만, 본격적으로 특정 서비스 또는 대량의 웹 사이트 변조를 통한 악성코드 유포 행위가 발생할 가능성이 현실화 되었으므로 현재의 제로데이 보안 취약점 패치가 공개될 때까지는 Internet Explorer 8 버전으로 업그래이드를 하시거나 비IE 웹 브라우저를 사용하시는 것이 안전할 것으로 보입니다.