웹을 통해 돌아다니는 새로운 웜이 마이크로소프트(MS) 아웃룩 사용자들에게 번지고 있으며, 파일을 전부 삭제해 버릴 잠재력이 있는 것으로 밝혀졌다.
맥아피(McAfee.com)의 전문가들은 4일 오전, 이 웜을 밝혀내고, ‘고너(Goner, W32/Goner@MM)’라는 이름을 붙이고, 최고 위험 수위의 바이러스 등급(HIGH risk)을 매겼다.
맥아피는 님다(NIMDA)나 코드 레드(Code Red), 멜리사(Melissa), 아이러뷰(ILOVEYOU) 등 잘 알려진 컴퓨터 감염 바이러스와 비교해도 이번에 발견된 바이러스가 매우 위험한 종류라고 밝혔다.
맥아피의 보안 전문가(Security Architect) 샘 커리(Sam Curry)는 "이 바이러스는 다른 종류와 마찬가지로 파괴적일 가능성이 있지만, 아직 완전한 파괴력을 알 수 없는 단계"라며, "한 가지 공격만 수행했던 안나 쿠르니코바(Anna Kournikova) 바이러스와 달리, 이번에 발견된 바이러스는 방화벽을 제거하고, 바이러스 방지 파일들을 삭제하는 등 몇 가지 공격을 동시에 수행하는 혼성 바이러스"라고 설명했다.
커리는 다른 많은 이메일 바이러스처럼, 이 웜이 아침 일찍이나 점심, 퇴근 후 집에서 이메일을 확인할 때 퍼져갈 것으로 예상된다고 말했다.
이 대량 메일 발송 웜은 MS 아웃룩에서 발견한 주소록의 모든 사람들에게 전송을 시도한다. 또, 인스턴트 메시징 플랫폼인 ICQ를 사용해서도 퍼질 수 있다. 이 웜은 ‘Hi’라는 제목에 짧은 메시지를 담은 이메일로 도착한다. 다음은 이메일 메시지 내용.
How are you ? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!
맥아피의 AVERT 팀은 다음과 같은 이름의 첨부 파일을 열지 않으면 이 웜이 활성화되지 않는다고 밝혔다.
GONE.SCR.
첨부 파일이 실행되면, 사용자 컴퓨터의 모든 파일들을 삭제할 수 있다. 그 후, ‘고너’ 웜은 사용자의 주소록에 있는 모든 이메일 주소로 자신을 전송한다.
이 첨부 파일은 네트워크는 감염시키지 않고, 로컬 시스템만 감염시킨다. 첨부 파일이 실행되면, ‘어바웃(About)’이라는 제목의 메시지 박스가 뜨고, 잠시 후, ‘에러(Error)’라는 또 다른 윈도우가 나타난다.
이 웜은 %WinDir% 폴더에 있는 SYSTEM32에 자신을 복제하고, 컴퓨터를 켤 때 시작되도록 다음과 같은 등록 키를 추가한다.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunC:%WINDIR%SYSTEM32gone.scr=C:%WINDIR%SYSTEM32gone.scr
새로운 ‘고너’ 웜은 최근 ‘배드트랜스(Badtrans)’ 인터넷 웜 변종에 바로 뒤이어 등장했다.
두 바이러스 모두 MS 아웃룩 사용자들을 감염시키고, ‘고너’는 여러 방화벽과 바이러스 방지 파일들의 삭제를 시도하는 것으로 보인다.
[출저] //korea.internet.com
[추신] 고너 전용 바이러스 퇴치 프로그램입니다 다운받아서 사용하세요
복사골 나그네
김정우: 헉...걸려따....ㅠㅠ;; [12/14-12:17]
김정우: 헉...걸려따....ㅠㅠ;; [12/14-12:17] 
