다형성 바이러스+트로이목마 `뎃낫.B` 경보

　안철수연구소(대표 김철수 http://www.ahnlab.com)는 7일 다형성 바이러스와 트로이목마가 결합한 악성코드 ‘뎃낫.B(Win32/Detnat.B)’가 국내에서 피해를 일으키고 있어 현재 10여곳의 기업에서 피해 신고를 한 상태라며 주의를 당부했다.

　뎃낫.B는 트로이목마에 바이러스가 감염된 형태로 바이러스 특성인 전염성과 트로이목마의 특성인 개인정보 유출 기능을 모두 포함하고 있다. 더욱이 바이러스 형태가 자꾸 바뀌는 다형성이어서 치료하기 어렵다.

　이 악성코드는 중국발 웹 해킹을 당한 웹사이트에서 유포되고 있으며 뎃낫.B가 설치되고 나면 PC와 네트워크 공유 드라이브에 존재하는 *.EXE 파일을 감염시킨다.

　이 과정에서 감염시킬 파일을 찾느라 불필요한 작업을 하기 때문에 PC의 속도가 현격히 느려진다. 더욱이 네트워크에 연결된 PC는 공유된 드라이브 내 파일까지 감염시키기 때문에 기업 네트워크 전체의 속도가 느려져 업무에 지장을 초래한다.

　감염된 PC에는 바이러스 자신이 복사돼 svchost.exe, god.exe, login.exe 파일이 생성된다. 또 explorer.exe와 dab1.dll 파일이 설치되는데 explorer.exe는 온라인게임 계정 탈취 트로이목마를 설치하는 기능이, dab1.dll은 온라인게임 계정 탈취 기능이 있다.

　강은성 안철수연구소 시큐리티대응센터 상무는 “바이러스와 트로이목마가 결합한 악성코드는 전에도 발견됐으나 다형성 바이러스 형태는 처음”이라며 “진단과 치료를 어렵게 해 더 큰 피해를 유발하기 위한 지능적인 수법으로 백신 등의 보안제품을 설치하고 항상 최신 버전으로 업데이트해야 한다”고 말했다.

　김인순기자@전자신문, insoon@