‘리마르(Win32.HLLM.Limar.based)’라는 이름의 이 웜은 인스턴트 메신저에 등록된 사용자에게 대화창 등을 통해 특정 링크 주소를 발송, 해당 링크를 클릭하면 웜을 다운로드해 실행한다. 웜이 실행되면 MSN 메신저 폴더(C:Program FilesMessenger)의 메신저 프로그램(msmsgs.exe)을 삭제 및 교체해 메신저가 실행되지 않을 수 있으며, 호스트 파일을 변경하고 정상프로세스에 DLL을 주입해 보안관련 사이트에 접속하지 못하도록 한다.
‘리마르’ 웜이 발송하는 링크 주소는 다음과 같다. ‘http://(랜덤숫자).hertunhadesunhinjer.com/m1/flash.exe’, ‘http://(랜덤숫자).hertunhadesunhinjer.com/(랜덤숫자)/(랜덤숫자)/’, ‘http://(랜덤숫자).zasedewionkderunhfadesun.com/m1/flash.exe’ 등이다.
위와 같은 링크 주소를 받으면 절대 클릭하지 말아야 하면, 이미 다운로드 받거나 실행한 상태라면 바이러스체이서와 같은 안티바이러스 백신을 통해 먼저 메모리 부트 섹터를 검사하고, 이후 전체 검사를 반드시 수행해야 한다.
뉴테크웨이브 기술연구소 강민규 연구원은 “19일 오후 6시부터 10건 이상의 리마르 웜이 신고됐다”며 “한번 감염되면 시스템에서 이메일 주소를 추출해 자신을 첨부한 이메일을 발송하므로 급격히 확산될 가능성이 높다”며 주의를 당부했다. <오현식 기자>
