MSN 메신저로 퍼지는 트로이목마 웜이 국내에서 전파되고 있다.
특별한 파괴증상이나 데이터 유출 기능은 없으나, 감염되면 인터넷 접속이 잘 안되고 시스템 속도가 느려진다.

따라서 이 웜에 감염됐다면 안철수연구소와 하우리의 최신 백신으로 치료해야 한다.



◆V3, 바이로봇으로 치료해야 30일 안철수연구소와 하우리 등 국내 백신업체에 따르면 29일 오후 1시경부터 MSN 메신저를 통해 감염되는 트로이목마 웜이 발견돼 국내 PC사용자들을 괴롭히고 있는 것으로 나타났다.

29일 오후 처음 발견돼 몇 시간 만에 수십 여 건의 감염 신고가 접수될 정도로 확산 속도가 매우 빠른 게 특징.

아직까지 해외에서 발견됐다는 보고는 없었다.

이 웜에 감염되면 메신저에 등록돼 있는 사용자들에게 웜 파일을 전송한다.

사용자들은 무슨 내용인지 모르는 상태에서 받아 불안하고 신경을 많이 쓰게 된다.

안철수연구소SMS "이 웜(신스.28672, Win-Trojan/Sins.28672)은 29일 국내에서 제작된 것으로 확인됐다"며 "어제부터 신고가 잇따라 긴급 엔진 업데이트를 완료했다"고 밝혔다.

또 "감염되었다면 V3 제품군 최신 엔진 및 패치 파일을 업데이트한 후 치료(삭제)하면 된다"며 "치료 중 Win-Trojan/Sins.28672가 실행중이면 강제종료 후 치료 버튼을 클릭하고 실행 중이지 않으면 진단 후 전체 목록치료 버튼을 눌러 치료(삭제)하면 된다"고 밝혔다.

하우리도 "국내에는 특히 MSN 메신저 사용자가 많으므로 확인되지 않은 파일은 다운받은 후 백신으로 바이러스 감염 여부를 검사해본 후 실행시킬 것을 권장한다"고 밝혔다.

또 "이 웜(Trojan.Win32.Sins.28672 )은 7월30일자 바이로봇 엔진으로 진단과 치료가 가능하다"고 설명했다.


◆어떻게 감염되는가 MSN 메신저로 ~ would like to send you the file ? sins.exe?~는 메시지를 받은 경우 Accept를 눌러 파일을 내려받고 sins.exe 파일을 실행하면 Access violation error라는 메시지가 나오는데 이는 트로이목마 신스.28672를 설치하기 위한 위장술이다.

다음과 같은 내용의 가짜 메시지 박스가 나타나는 것.

-제 목 : Error -내 용 : Access Violation Error!!(Address:0x00F0852-0x000F08FF) 신스.28672 트로이목마가 설치되면 특정 IP(국외에 서버를 두고 있는 한글 성인 사이트)에 접속해 다른 트로이목마인 신스.53248(Win-Trojan/Sins.53248)을 다운로드하고, 이 트로이목마가 다시 웜(Win32/Sinmsn.worm.20480)을 다운로드한다.

이 웜은 MSN 메신저에 등록된 주소로 신스.28672 트로이목마를 자동 발송하는 역할을 한다.

결과적으로 두 개의 트로이목마와 한 개의 웜이 설치되는데, 인터넷 익스플로러 실행 속도가 느려지는 것 외에 파일 손상이나 정보 유출 등의 부작용은 없다.

안철수연구소 조기흠 시큐리티대응센터장은 "MSN 메신저로 퍼지는 악성 프로그램은 이제까지 FunnyFiles, Choke, Newpic, Exploit.Messenger 등이 있었다"며 "메신저는 대중적으로 사용되고 있어 이를 전파 경로로 이용하는 악성 프로그램의 수는 더욱 증가할 전망"이라고 설명했다.

출처 - inews24.com

===========================================================

MSN 쓰시는 분들 바이러스 조심하세요