GENO 바이러스

2009년 일본 동인 사이트를 중심으로 급속도로 전파되었던 컴퓨터 바이러스. 검블러(Gumblar) 공격의 일종으로, 웹 사이트를 무단으로 변조하고 바이러스 감염 코드를 심어 확산시켜나가는 특징이 있다.

1 명칭

이 바이러스를 GENO 바이러스라고 부르는 이유는 일본의 컴퓨터 통신 판매 사이트인 GENO에서 이 바이러스가 발견되었기 때문이다. 대처라도 제대로 했으면 다행이었겠지만, 이 GENO라는 사이트에서 대처를 제대로 하지 않는 바람에 일이 커지고 말았다.

한국에서는 주로 일본 인터넷을 이용하는 사용자들에 의해 이 바이러스가 확산되었기 때문에, 2009년 발발 당시에는 일본처럼 'GENO 바이러스'라고 불렀다.

2 증상

어도비(Adobe) 사의 아크로뱃이나 플래쉬의 보안 패치가 되지 않은 PC가 특정 웹 사이트를 열기만 해도 감염되는 '드라이브 바이 다운로드' 방식으로 전파되고 있어 감염속도가 매우 빠르다. 피해자가 악성코드가 숨겨진 사이트에 접속할 경우 'gumblar.cn'나 'martuz.cn'악성 코드가 담긴 PDF·플래시 파일이 다운로드되며, 패치가 되지 않은 구버전을 쓰고 있을 경우 웹 브라우저에서 자동적으로 파일이 실행되는 식이다.

더 큰 문제는 감염된 PC 이용자가 웹사이트의 파일을 관리하는 FTP 프로그램을 가지고 있을 경우 ID와 비밀번호를 빼내 해당 웹사이트에 악성코드를 자동적으로 심어놓는다는 데 있다. 해당 페이지를 열어본 다른 이용자들도 악성코드 위협에 노출되는 것이다.

악성코드에 감염된 PC에서는 △마이크로소프트(MS)사의 업데이트나 일부 백신 소프트웨어 사이트로의 접속이 불가능해지고 △cmd.exe와 regedit.exe 파일을 실행할 수 없게 되며 △웹 브라우저인 익스플로러가 이유없이 종료되는 등의 증상이 나타나는 것으로 알려졌다. 또 검색 사이트 구글의 검색 결과를 특정 웹사이트로 강제 이동시키는 증상도 있으며 경우에 따라서는 부팅이 되지 않기도 한다.

3 감염 경로

바이러스 감염자의 FTP 프로그램을 통해 개인 홈페이지에 바이러스를 심어 놓는 특성상 개인 홈페이지를 가진 사용자들을 통해 확산되었다. 특히 동인계의 경우 특성상 개인 홈페이지를 운영하는 사람이 많고 사용자들끼리 '서치 사이트'를 통해 서로의 홈페이지를 오가는 일이 잦기 때문에 바이러스가 주로 동인계를 통해 급속도로 퍼지기 시작한 것.

국내 동인계에서도 일본 웹사이트에 들락날락하는 사람이 많기 때문에 옮아올 우려가 컸고, 2009년 5월 22일자로 결국 국내에도 유입되었다는 기사가 뜨고야 말았다.

4 대책

아크로뱃, 플래시, 자바, 퀵타임 등의 취약성을 이용한 바이러스인 만큼 사용자들은 해당 프로그램들을 항상 최신판으로 업데이트해야 한다. 자바스크립트를 통해 공격이 이루어지는 만큼 브라우저의 자바스크립트 설정을 끄는 방안도 제시되었다. 다른 방법으로는 익스플로잇 쉴드를 사용하거나 그런 개념이 포함된 방어를 갖춘 백신을 찾는 방법도 있다. 드라이브 바이 드라이브 방식은 익스플로잇 쉴드에 딱 걸려서 막히기 쉽상이다.

홈페이지 관리자 측에서는 정기적으로 FTP의 접속 기록을 확인하고 사이트의 개변조를 감지할 수 있는 시스템을 도입해야 한다. 사이트가 감염되었다면 일단 사이트의 공개를 중단하고 공개되었던 컨텐츠의 소스를 확인하여야 한다. 그런데 이 바이러스의 최초 감염지인 GENO 홈페이지의 관리자들은 이런 기본적인 사항을 안 지켰다.

5 변종

추가바람