슈퍼 산업시설 바이러스 웜인 스턱스넷과 유사 악성코드 ‘듀큐(Duqu)’가 알려지지 않은 윈도 커널 제로데이 취약점을 이용하는 것으로 나타났다.
듀큐는 스턱스넷과 유사기능을 하지만 백도어에 설치돼 주요 정보를 수집하고 향후 공격에 이용하기 위해 만들어진 스파이 기능의 악성코드다.
시만텍 보안연구소는 CrySyS(Cryptography and System Security) 연구소와 함께 듀큐 감염 프로세스에 대한 추가 분석 결과를 2일 밝혔다.
CrySyS팀은 원본 듀큐 바이너리를 탐지한 데 이어 이번에 듀큐 인스톨러를 찾아내는 성과를 거뒀다. 지금까지는 인스톨러를 찾지 못해 듀큐가 어떻게 시스템을 감염시키는지 정확히 규명하기 어려웠지만 이제는 듀큐 감염 프로세스를 확인할 수 있게 됐다.
CrySyS가 찾아낸 듀큐 인스톨러 파일은 기존의 알려지지 않은 커널의 제로데이 취약점을 이용해 악성코드를 실행시키는 마이크로소프트(MS) 워드 문서(DOC)다. 시만텍은 MS측에 해당 취약점을 통보한 상태이며, MS도 관련 보안 업데이트를 준비 중인 것으로 확인됐다.
시만텍에 따르면 듀큐는 보안패치가 없는 제로데이 취약점을 이용한다. 공격자들이 PSP 명령과 제어 프로토콜을 통해 안전지대에 있는 컴퓨터 시스템에 듀큐를 유포하고 제어도 가능하다.
현재까지 프랑스, 네덜란드, 스위스, 우크라이나, 인도, 이란, 수단 및 베트남 등 8개국 6개기업이 감염된 것으로 확인됐다.
듀큐는 벨기에에서 호스팅된 새로운 명령제어(C&C)서버에서 발견되어 폐쇄된 상태다.
관련기사
- 스파이 기능으로 돌아온 스턱스넷 '버전업'2011.11.02
- 이란, 제2의 스턱스넷?…새 악성코드 등장해2011.11.02
- "스턱스넷은 시작일 뿐"…클라우드 시대, 대형 보안 위협 경고2011.11.02
- 스턱스넷 공격 배후는 미국-이스라엘?2011.11.02
이에 따라 컴퓨터 사용자들은 ▲본인도 모르게 프로그램이 생성되거나 삭제된 경우 ▲알 수 없는 파일이나 공유 폴더가 생긴 경우 ▲이유 없이 컴퓨터 프로그램 실행 속도가 느려지고 시스템이 멈춘 경우 ▲사용자 의사와 관계없이 프로그램이 실행되거나 주변 장치가 스스로 움직이는 증상이 나타난 경우 즉시 악성코드 감염을 의심할 필요가 있다.
윤광택 시만텍코리아 이사는 “출처를 알 수 없거나 의심스러운 이메일은 바로 삭제하고 파일공유 사이트 등에서 출처를 알 수 없는 파일은 함부로 내려받지 않는 게 바람직하다”고 당부했다.
