이메일로 확산되는 라토스 웜은 `photos`를 메일 제목으로 갖고 있으며, `LOL!;))))` 등의 내용이 메일 본문에 포함되어 있다. `photos_arc.exe`라는 첨부파일을 갖고 있어 PC사용자가 이 첨부 파일을 열면 웜에 감염된다.
이 웜을 실행하면 윈도우 폴더에 `rasor38a.dll`, 윈도우 시스템 폴더에 `winpsd.exe` 라는 파일 이름으로 웜의 복사본을 생성한다. 생성되는 winvpn32.exe는 TCP/9154, TCP/35542과 TCP35545를 열어 외부에서 접속이 가능하도록 한다. 시스템의 hosts 파일을 수정하여 특정 보안업체들의 웹 페이지 접속을 어렵게 하는 기능도 가지고 있다. 이 웜은 Adbh, aspd, dbxn, htmb, txt, wab 등 감염된 시스템의 다양한 확장자의 파일으로부터 메일주소를 추출, `photos`라는 제목으로 웜을 첨부한 이메일을 발송하면서 확산, 시스템의 과부하를 유발할 수 있다. 레지스트리에 등록되어 재부팅시에도 자동으로 실행된다.
안철수연구소 시큐리티대응센터 조기흠 센터장은 "출처가 불분명한 이메일은 첨부파일을 실행하지 말고 즉시 삭제해야 한다."고 경고하고 만일 감염시에는 홈페이(www.ahnlab.com)를 통해 최신 백신을 내려 받거나 업데이트해 진단, 치료하는 것이 좋다고 말했다. <장윤정 기자>
저작권자 © 데이터넷 무단전재 및 재배포 금지