윈도우즈의 WMF취약점을 이용한 바이러스가 MSN 메신저를 통해 유포되고있어 MSN 메신저 사용자들의 각별한 주의를 요한다.
MSN 메신저를 통해 ''http://www.eid<생략>.info/fun'' 링크가 배포되고 있으며, 해당 링크를 클릭하여 웹사이트에 접속하게 되면 WMF취약점을 이용하는 바이러스가 실행된다.
wmf란 윈도우즈에서 사용되는 그림포맷의 한종류로서, WMF취약점을 이용한 바이러스의 경우 웹브라우저나 탐색기가 해당 바이러스 파일에 접근을 시도할 경우 내부의 악성코드가 자동으로 실행되는 특징을 가진다.
그렇기 때문에 WMF취약점과 관련된 보안패치가 설치되지 않은 시스템에서는 해당 링크를 클릭하는 즉시 웹페이지에 포함된 바이러스가 동작을 시작하게 된다.
WMF 취약점을 이용한 바이러스는 특정 FTP서버로부터 타 바이러스를 다운로드 받아오는데 해당 바이러스가 저장되는 위치는 다음과 같다.
- C:windowsSystem32winhelpsmss.exe : Win32.IRC.Bot.based로 진단 Win32.IRC.Bot.based 바이러스는 봇계열의 바이러스로서 해당 바이러스는 MSN 메신저를 통하여 타 접속자에게 자신의 배포링크를 보내는 역할을 하며, 특정 IRC서버로 접속하여 바이러스 제작자의 명령을 받거나 감염시스템의 정보를 바이러스 제작자에게 보내주는 역할을 하기도 한다.
2006년 1월 20일 발견된 바이러스는 위와같이 동작하는 모습을 보여주지만, 현재는 ''http://www.eid<생략>.info/fun'' 링크에서 WMF와 관련된 코드가 삭제 되어있어 더이상 MSN 메신저를 통해 바이러스가 전파되지는 않고있다.
이번 바이러스의 경우, 알고있는 대화상대로 부터 받은 링크였기에 클릭률이 높았으며, 더욱이 사이트에 접속만 하게되면 바이러스에 감염되게 되고, 감염 시스템은 다시 MSN메신저에 등록된 타 대화상대에게 바이러스 링크를 보내는 악순환이 반복되어, 감염률이 높은것으로 보인다.
윈도우즈 사용자들은 반드시 WMF취약점 관련 보안패치를 실시하기 바라며, MSN 메신저로 웹사이트의 링크만 전송되어 오는 경우 해당 링크의 클릭을 자 제하기 바란다.