감염된 파일 실행 시 다른 엑셀 파일 연쇄 감염
이번 악성코드는 컴퓨터 바이러스로는 드물게 국내에서 생성된 것으로 추측되며, 최근 몇 년 간 문제되지 않았던 엑셀 매크로를 이용한 바이러스라는 점이 특징이다. 감염된 엑셀 파일을 실행할 때 다른 엑셀 파일을 연쇄 감염시켜 내용을 변조시키고 특정 메시지를 활용해 다소 과장되고 익살스러운 위협을 가한다.
감염된 문서를 '매크로 포함'으로 실행하면 바이러스도 함께 실행되며, 실행된 바이러스는 'C:Documents and Settings[사용자계정]Application DataMicrosoftExcelECSYSTEM.xls' 폴더에 파일을 생성한다. 이후 엑셀 파일 실행 시 자동으로 해당 폴더 내 파일을 엑셀로 로딩해 다른 엑셀 파일을 변조시키지만 실제 파일은 삭제되지 않는다.
에스지어드밴텍은 현재 이 바이러스에 대한 패턴 업데이트를 마쳤으며, 엑셀 파일 작업 중 오후 4시 44분 44초에 특정 메시지가 발생하면 사용 중인 오피스 프로그램을 즉시 종료하고 백신을 최신 업데이트 한 다음 전체 검사 실행하는 것을 권고한다고 말했다. 전체 검사가 종료되면 감염된 원본 파일 및 다른 파일도 원상복구 되기 때문이다.
최재혁 에스지어드밴텍 연구소 팀장은 "최근 악성코드 동향은 2090 바이이러스나 콘피커웜과 같이 강력한 피해를 경고하는 형태 부터 이번 바이러스 처럼 과장된 문구로 사용자의 공포심을 불러 일으키는 등 다양하고 광범위하게 나타나고 있다"며, "바이러스에 감염되지 않았더라도 신뢰성있는 백신을 설치하고 정기적인 업데이트를 실시하는 것이 언제든 나타날 수 있는 치명적인 바이러스를 예방하는 지름길"이라고 말했다.
김정은 기자
jekim@itdaily.kr