Red Alert! SirCam 웜 바이러스!

최근 들어 이런 내용의 E-Mail을 받아 보신 분이 적지 않으실 것입니다.

Hi! How are you?

See you later. Thanks

이런 메일을 받으셨다면 그 안에 첨부된 첨부 파일을 절대 열지 마시고 즉시 지워 주십시오. 이 메일은 여러분을 불행으로 몰고가는 편지입니다. 한물 간 불행의 편지 이야기가 아닙니다. 이 메일은 최근 유행하고 있는 SirCam이라 불리는 초 악성 웜 바이러스이기 때문입니다.

SirCam 웜이란?

SirCam 웜 바이러스의 정확한 명칭은 Win32/Sircam.worm입니다.(안철수 연구소 기준 명칭이며 백신 제조사마다 약간씩 명칭은 다르지만 SirCam이라는 단어는 꼭 들어갑니다.) 제목 그대로 인터넷 회선을 타고 이동하는 웜(Worm)입니다.

웜의 기생

SirCam 웜은 휴지통 폴더(C:Recycled) 및 임시 폴더(보통 C:WindowsTemp)에 Sirc32.exe이라는 웜의 본체가 잠복해 있게 됩니다. 또한 시스템 폴더(보통 Windows 9x의 경우 C:WindowsSystem)에는 SCam32.EXE이라는 파일이 생성되며 실제 웜의 전파를 위해 이 파일이 운영체제에 로딩됩니다.

또한 이 웜은 레지스트리를 수정하여 항상 웜이 먼저 실행되는 구조를 가지므로 운영체제의 속도가 느려지는 현상을 가지며 현재까지 알려진 바로는 10월 16일에 C:의 파일을 삭제한다는(1/20확률) 것도 보고되어 있습니다.

웜의 전파 경로

이런 메일이 오면 친구 메일이라도 지워라!

웜은 인터넷을 통해 메일을 전파하는데 인터넷만 연결되어 있다면 따로 메일 소프트웨어가 없어도 메일을 보낼 수 있습니다. 메일 소프트웨어의 주소록과 인터넷상의 임시 파일에 포함된 E-Mail 주소로 웜을 포함한 메일을 보내며 웜을 포함한 문서 파일을 첨부하여 보내는 특징을 가지고 있습니다. 웜에는 다음과 같은 내용이 포함되어 있습니다.

Hi! How are you?

See you later. Thanks

또는

Hola como estas ?

Nos vemos pronto, gracias.

이 파일은 문서 파일을 첨부하여 보내므로 중요한 기업 기밀이 빠져나갈 수 있다는 점에서 특히 위험한 바이러스입니다. 보내는 파일은 Random하므로 어떤 파일이 빠져나가는지 알 수 없다는 점에서 특히 더욱 주의가 요구된다 하겠습니다.

웜의 예방 및 치료방법

시스템 감시 기능은 이럴 때 유용하다

바이러스 백신의 정품은 이래서 편하다

SirCam 웜에 감염되지 않는 가장 좋은 방법은 이러한 글 내용을 가진 메일이 왔을 경우에는 절대 첨부 파일을 열어보지 마시고 메일을 지우시는 것입니다. 첨부 파일만 열어보지 않는다면 SirCam 웜에 감염되지 않습니다. 또한 안철수 연구소의 V3Pro 2000 및 하우리의 바이로봇 2000과 같은 상용 백신을 사용하시는 경우에는 항상 시스템 감시 기능을 켜 두시고 최신 버전의 바이러스 백신을 다운로드받아 두시면 웜이 포함된 메일을 실행시키지 않아 좀 더 안심하시고 사용하실 수 있습니다.

pcBee의 바이러스 메일진

또한 이미 웜에 감염되었을 경우에는 전용 백신을 이용하여 치료하시는 것이 중요합니다. 안철수 연구소와 하우리에서는 공개용 SirCam 백신을 제작하여 공개한 상황이므로 안철수 연구소 및 하우리 사이트에서 전용 백신을 다운로드받아 실행하시면 치료가 됩니다. 또한 pcBee에서 매주 발송하는 바이러스 메일진의 최신판을 이용하면 SirCam 웜을 치료하실 수 있습니다.

하지만 그 무엇보다 중요한것은 의심스런 내용의 메일은 열어보지 않고 이상한 사이트에 함부로 접속하지 않는다는 기본 원칙을 항상 지키시는 것이라 할 수 있습니다. 걸려서 치료하는것 보다는 걸리기 전에 예방하는 것이 더욱 좋은것 아니겠습니까?

안철수 연구소의 SirCam 전용 백신 다운로드

김준연
자료제공:pcbee(http://www.pcbee.co.kr)