트렌드마이크로의 아웃브레이크 솔루션 센터인 트렌드랩(TrendLabs)의 2005년 1월 바이러스 분석 자료에 따르면, 총 악성 프로그램 감염 수는 지난 12월 비해 100% 가량 상승했으며 전년 동기에 비해 500% 증가한 것으로 나타났다. 특히 이 중 70% 이상은 새롭게 발견된 악성 프로그램이다.
트렌드마이크로는 1월 중 총 2,236개의 악성 프로그램이 집계됐으며 이 중 트로이목마가 42%로 최대 비율을 차지했다고 분석했다.
이러한 두드러진 증가는 최근 몇 개월 동안 불법 이익을 목적으로 한 피셔들로 인해 트로이목마가 눈에 띄게 증가했기 때문이다. 특히 해커들은 암호를 훔치기 위해 트로이 목마를 사용하여 온라인 은행을 대상으로 온라인 사용자들의 트랜잭션 암호를 얻는다. TROJ_BANKER, TROJ_BANCOS 및 TROJ_BANCBAN과 같은 트로이목마 변종은 모두 키로깅 및 피싱을 사용하여 트랜잭션 계정 번호 및 개인 암호를 도용한다. 트로이목마는 백도어 프로그램과 함께 활동한다.
지난 1월 한달 간 백도어는 총 242개 발견되었는데, 이는 모든 문서화된 악성 프로그램의 총 11%를 차지하는 수치다. 백도어 프로그램은 트로이목마를 통해 컴퓨터에 침입한 후 컴퓨터를 원격으로 제어하는데 사용되어 온라인 트랜잭션의 위험을 크게 증가시킨다. 즉, 지난 1월에 발생한 악성 프로그램(총 1,169건)의 53%는 불법으로 이익을 획득하려는 해커들의 시도였다.
영원한 NETSKY.P 매일 평균 2,500건의 감염 발생
지난 한 해 동안 가장 우세했던 악성 프로그램인 WORM_NET SKY.P는 지난 1월 총 75,000대의 컴퓨터를 감염시키며 1월에도 그 위력을 유지했다. 이러한 수치는 하루 평균 2,500대의 시스템이 감염되었다는 것을 나타낸다.
지난해 5월 처음 발견된 WORM_NETSKY.P가 이렇게 높은 감염율을 지속하는 데에는 몇가지 원인이 있다. 그 원인 중 가장 결정적인 것은 사회 공학적 기술을 사용, 희생자의 경계를 완화시켜 희생자를 속이는 데 있다.
WORM_NETSKY.P는 전자우편이 안티바이러스 소프트웨어에 의해 검색되었다는 거짓 문구와 함께 수백개의 제목 및 메시지 본문을 사용한다. 여러 피해자들은 의구심을 느끼면서도 이 웜의 복사본인 첨부 파일을 열게 된다.
다음은 WORM_NETSKY.P의 교묘한 기술 중 일부이다.
● 사용자에 대한 경고로 위장한다
: “당신은 새로운 종류의 바이러스에 걸렸다. 치료를 위해서
첨부된 파일을 열면 치료가 가능하다”
● 지인으로부터 수신된 개인 정보로 가장한다
: “나의 메신저 아이디야” 또는 “이것은 나의 핸드폰 번호야”
● 암호 확인 메시지로 가장한다
: “이 번호가 귀하의 패스워드가 맞습니까?
확인 부탁드리겠습니다.”
트렌드마이크로는 WORM_NETSKY.P의 형체 변형성으로 인해 많은 사용자들이 같은 바이러스에 의해 여러 번 감염될 수 있다고 지적했다.
또한 WORM_NETSKY.P는 대응이 어려운 한 가지 속성을 보유하고 있다. WORM_NETSKY.P는 3년 전 발표된 IE 취약성(MD01-020)을 공격하는 데, 이 취약성은 전자우편을 읽거나 단지 미리 보기만 해도 첨부파일이 자동으로 실행되도록 한다. 트렌드마이크로 전문가는 “WORM_ NETSKY.P는 몇 년 동안 패치를 적용하지 않은 시스템을 이용하여 쉽게 컴퓨터 시스템 위협을 지속할 수 있었다.”고 설명한다.
지난 1월, WORM_NETSKY군은 상위 10대 악성 프로그램 중 5개를 차지했다. 사라질 줄 모르는 이 웜은 2004년 5월 이후 대형 바이러스 경보를 발생시키지는 않았으나 그 영향은 매우 오래 지속되고 있다. 1월 상위 10대 악성 프로그램 목록에 오른 모든 NETSKY 변종은 시스템에서 MYDOOM 및 BAGLE을 삭제할 수 있으며, 이는 NETSKY가 우위를 점할 수 있도록 하는 원인이기도 하다.
1월에 세번째로 우세했던 악성 프로그램인 JAVA_BYTEVER.A 또한 오랫동안 지속해온 바이러스다.
Java Applet은 거의 2년 동안 지속되어왔지만 NETSKY와 같이 바이러스 경보를 발생시킬 정도로 확산되지는 않았다. 그러나 이 악성 프로그램은 2004년 악성 프로그램 목록에서 13번째 위치를 차지했으며 지금까지 약 700,000건의 감염을 일으켰다. 목록에서 6번째를 차지한 WORM_ SOBER.I에 대해 트렌드마이크로는 지난해 11월 바이러스 경보를 발표했다. 최초의 변종이 2003년경 유포되었지만 이 바이러스는 9개월 전부터 활성화되었다.
바이러스