안철수연구소, "MP3 파일 무차별 삭제하는 '노피르 웜' 주의"

글쓴이 관리자 날짜 2005-04-23  조회수 301


- DVD 크랙 프로그램으로 위장, P2P 공유사이트 통해 유포
- PC 안 모든 드라이브의 MP3 파일 삭제
- *.COM 파일 삭제로 윈도우 NT 계열 PC의 정상적 부팅 방해
- 불법 MP3 다운로드 네티즌 행태 겨냥한 것으로 추정

P2P를 이용해 음악파일을 불법 공유하는 네티즌들을 '응징'하는 프로그램이 다시 한번 등장, PC를 통해 음악을 즐겨 듣는 이용자들의 각별한 주의가 요구된다.

국내 최대 정보보안기업 안철수연구소(대표 김철수 www.ahnlab.com)는 23일 PC 내 MP3 파일을 무차별적으로 삭제하는 '노피르 웜'(Nopir.156658)이 해외에서 등장, 유럽 등을 중심으로 확산되고 있다며 PC 이용자들의 주의를 당부했다.

노피르 웜은 네티즌들의 불법 콘텐츠 공유를 겨냥한 일종의 안티P2P(AntiP2P) 프로그램이며 프랑스에서 제작된 것으로 추정된다. DVD의 불법복제 방지기술의 크랙 프로그램으로 위장해서 P2P 상에서 전파되고 실행하면 모든 PC 드라이브의 MP3 파일을 삭제한다. 또 *.COM 파일을 삭제하는데, 이 경우 윈도우 NT 계열(NT, 2000, XP) 운영체계(OS)의 C:\에 있는 NTDETECT.COM 파일이 삭제되어 다음 번 부팅 시 윈도가 정상적으로 부팅되지 않는다. 감염사실을 숨기거나 분석을 방해하기 위해서 일부 응용 프로그램 실행을 방해하기도 한다.

또한 윈도에서 실행되는 대부분의 파일의 레지스트리를 변경하여 자신을 먼저 실행하게 하며, P2P 응용 프로그램이 있으면 공유 폴더에 자신의 복사본을 생성함으로써 손쉽게 전파되도록 한다.

안철수연구소 시큐리티대응센터 강은성 상무는 "노피르 웜은 P2P를 이용해 영화나 음악 등을 불법 공유하는 네티즌들을 ‘응징’하는 것이 목적인 것으로 보이지만, 합법적으로 다운받는 MP3 파일도 무차별 삭제하기 때문에 정당하게 이용하는 사람도 피해를 입을 수 있다"며, "P2P나 기타 불법 파일공유 사이트 이용을 삼가고, 감염시 V3 등 백신을 이용해 진단/삭제하면 된다. 그러나 이미 삭제된 MP3와 *.com 파일은 복구되지 않으므로 각별한 주의가 필요하다."고 강조했다.

노피르 웜의 국내 유입 신고는 23일 정오 현재 아직 없다. 안철수연구소는 긴급 엔진을 개발 중이며 23일 오후 3시경 고객에게 제공할 예정이다. <Ahn>

[참고 - P2P 통한 공유된 불법 콘텐츠 '응징' 프로그램]

P2P를 이용해 영화나 음악 등을 불법 공유하는 네티즌들을 ‘응징’하는 프로그램이 전혀 새로운 것은 아니다. 2004년 11월에도 국내에서 비슷한 프로그램이 제작돼 모 커뮤니티에서 유포된 바가 있다. V3 진단명이 'Win-Trojan/AntiP2P.34208'인 이 트로이목마는 실행시 동일 폴더에 있는 파일 중 exe, avi, zip, txt, mp3, mpg, bin, iso, jpg 등의 확장자를 가진 파일을 삭제, P2P 파일 공유자들을 공포에 떨게 한 바 있다. P2P 상에서 전파되는 각종 악성코드 외에도 이와 같이 직접 불법 콘텐츠를 삭제하는 악성 프로그램이 등장함에 따라 앞으로 P2P를 통한 파일 공유는 더욱 큰 위험성을 띠게 됐다.




보도자료
2005-04-23