[edaily 조용만기자] 안철수연구소(53800)(www.ahnlab.com)는 클레즈.H 웜의 메일 형태가 백신 업체에서 제공하는 웜 제거 툴로 위장하는 등 지능적이고 다양해 피해가 점점 증가하고 있다고 밝혔다. 안연구소는 "지난 17일 오후부터 23일 오전 9시 현재 450건의 피해 신고가 접수됐으며 이는 올해 들어 피해가 가장 많은 경우"라고 말했다.
안연구소에 따르면 클레즈.H가 발송되는 메일 형태는 크게 네 가지 경우가 있다. 첫째 경우는 공식 "[선택] removal tools"이 적용되는데, [선택]에는 W32.Klez혹은 W32.Elkern이 들어간다. 이 경우 다음과 같은 본문이 붙으며 아래의 백신업체(Symantec, Mcafee, Trendmicro, F-Secure, Sophos, Kaspersky) 이름이 임의로 선택된다. 웜을 제거하는 것으로 오해해 메일을 열거나 첨부 파일을 실행하면피해를 당한다.
W32.Elkern is a dangerous virus that can infect on Win98/Me/2000/XP. [백신업체명] give you the W32.Elkern removal tools for more information,please visit http://www.[백신업체명].com
둘째, 메일 제목이 Worm Klez.E immunity인 경우이다. 이 경우는 다음과 같은 본문을 가지고 있다.
Klez.E is the most common world-wide spreading worm. It"s very dangerous by corrupting your files.(중략)If so, Ignore the warning, and select "continue".If you have any question, please mail to me.
mail to me를 클릭하면 Klez.H 메일을 발송한, 감염된 시스템 사용자의 메일 주소로 연결된다.
셋째 경우는 "A [선택1] [선택2]" 공식이 적용되며, [선택1]에는 new, funny,nice, humour, excite, good, powful, WinXP, IE 6.0 중 하나가, [선택2]에는 game, patch, tool, website 중 하나가 들어간다. 예를 들면 A WinXP patch, Afunny game 등의 제목이 만들어진다.
또한 제목에 따라 본문 내용이 달라지는데, A WinXP patch라는 제목이 정해진 경우는 Hi, This is a WinXP patch expect you would like it라는 본문이 만들어진다.
넷째, how are you, let"s be friends, darling 등 22개 영어 문장 중에서도 무작위로 선택되어 메일 제목이 만들어진다.
안연구소는 "다양한 형태를 가진 Klez.H 웜은 보안패치가 안된 아웃룩(익스프레스)에서는 읽는 것만으로도 첨부된 웜이 자동 실행되므로, 일단 자신의 아웃룩, 아웃룩 익스프레스가 보안 패치 되어 있는지 확인하고, 적용되어 있지 않다면 반드시 보안 패치를 적용해야 한다"고 권고했다.