"님다" 어떤 바이러스인가

입력: 2001-09-20 16:45 한지운 기자

폰트

국내외에서 무서운 속도로 퍼지고 있는 님다 바이러스는 정부를 뜻하는 영어단어인 ‘애드민’(Admin)과 제3차 세계대전을 뜻하는 ‘To 3W’ 철자를 거꾸로 나열한 이름을 갖고 있다. 이 바이러스의 이름인 ‘W32.Nimda’를 거꾸로 읽으면 이같은 뜻으로 해석할 수 있다.

이로 인해 테러범 또는 반미(反美) 단체가 혼란 가중을 위해 바이러스를 유포했을 가능성도 일각에서 제시되기도 한다. 이에 대해 존 애시크로프트 미 법무장관은 “님다는 지난 7월 출현해 제거하는 데 26억달러가 소요된 코드레드 바이러스보다 훨씬 강력한 것으로 보인다”면서도 “그러나 이 바이러스가 지난 테러와 관련이 있다는 증거는 아직 발견되지 않았다”고 말했다.

이 바이러스에 일단 감염되면 다른 시스템을 감염시키기 위하여 지속적으로 이메일을 전파(일종의 서비스거부 공격)해 네트워크 속도저하를 초래하고 원격으로 임의의 명령어를 실행, 감염된 시스템을 제어할 수 있다는 점에서 상당한 피해가 우려된다.

◈감염경로와 증상〓님다 바이러스는 MS 아웃룩의 받은 편지함에 있는 메일주소를 이용해 임의의 제목으로 이메일을 무작위로 보내 전파하며, 보안패치되지 않은 MS ⅡS 웹서버를 ‘코드레드Ⅱ’· ‘Sadmin/ⅡS’에 의해 생성된 백도어를 검색하여 감염시킨다. 여기에 다시 공유 네트워크를 통해 바이러스를 전파시키기 때문에 전파속도가 다른 바이러스에 비해 상당히 빠르다. 또 감염된 웹서버를 방문하는 경우, 강제로 창이 뜨면서 ‘eml’ 확장자를 가진 파일을 다운로드해 사용자를 감염시킨다.

감염된 이메일은 무작위로 구성된 20개~30개의 알파벳으로 된 제목을 가지고 있으며, 본문이 없는 메일에 ‘readme.exe’ 등의 파일이 첨부되어 있다. 또 이메일의 내용에는 ‘P.R China’라는 특정 메시지가 담겨있으며, 첨부파일을 실행시키지 않더라도 마우스를 더블클릭해 이메일을 열면 바로 감염된다. 특히 바이러스 전문가들은 “님다 바이러스 구조상 미리보기 기능을 이용하는 것만으로도 바이러스가 실행될 가능성이 매우 높다”며 면밀한 주의가 요구된다고 덧붙였다.

◈대응 방법〓감염된 이메일을 받을 경우 열지말고 바로 삭제해야 하며, 공유된 디렉토리를 제거해야 한다. 또 최신버전의 백신 프로그램을 다운로드 받아 바이러스의 침입을 막아야 한다.

님다 바이러스는 인터넷 익스플로러의 보안상 결함을 이용하여 확산되기 때문에 MS의 인터넷 익스플로러(5.0 이상) 사용자들은 네트워크 공유를 중단하고, MS의 보안패치 파일(MS01-020)을 MS 업데이트 사이트(경로: www.microsoft.com/technet/security/bulletin/MS01-020.asp)에서 다운로드 받아 설치해야만 재감염을 막을 수 있다. 또 윈도 2000 운영체제 사용자들은 ‘ms00-078’ 보안패치(경로: www.microsoft.com/technet/security/bulletin/ms00-078.asp)를 추가로 설치해야 한다. 특히 MS ⅡS 웹서버 관리자들은 MS 업데이트 사이트(www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp)를 참조해 보안패치를 해야 한다.

◈백신업체 대응〓백신업체들은 님다 바이러스가 단기간에 네트워크 트레픽을 증가시켜 서버가 다운될 위험성이 높다고 분석하고 최고 위험등급으로 긴급 지정, 대응에 나서고 있다.
한국트랜드마이크로(대표 박기헌)는 자사의 백신 프로그램인 ‘PC실린’ 사용자의 경우 최신 패턴 파일(941)을 다운로드받아 검색 및 치료를 할 수 있으며, 자사고객이 아닌 경우는 무료 온라인 방역서비스인 ‘하우스콜서비스’(housecall.trendmicro.co.kr)을 이용하면 치료할 수 있다고 설명했다. 또 안철수연구소(대표 안철수)와 시만텍코리아(대표 최원식)는 님다 바이러스를 치료할 수 있는 최신 패치파일을 긴급 제작해 19일 중 홈페이지에 등록할 예정이다.

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

"님다" 어떤 바이러스인가

이 시간 핫클릭

핫 이슈!