보안 전문 기업 안철수연구소(www.ahnlab.com)는 마이크로소프트사에서 보낸 메일로 가장한 신종 웜 팔리(Win32/Palyh.worm)가 오늘 새벽부터 오후 3시 현재 안철수연구소의 VBS(Virus Blocking Service)에 50여 건이 기록되는 등 국내에서 급속 확산되고 있어 사용자의 각별한 주의가 필요하다고 밝혔다.

안철수연구소는 19일 긴급 엔진 업데이트를 통해 팔리 웜의 확산에 대비하고 있다. 팔리 웜은 5월 18일 외국에서 발견되어 국내에는 5월 19일 새벽부터 확산되었다. 일본 법인에서도 40분만에 9개의 메일을 받는 등 전파 속도가 빠른 상황이다.

팔리 웜은 메일과 네트워크로 전파되는데 자체 SMTP 기능이 있어 별도 메일 프로그램의 종류에 구애받지 않고 메일을 발송하는데다 모든 드라이브와 폴더를 뒤져 wab, dbx, htm, html, txt, eml 등의 파일에 저장된 메일 주소로 발송하기 때문에 매우 광범위하게 전파될 수 있는 것이 특징이다.

메일의 발신인은 support@microsoft.com이고 본문 내용은 ‘All information is in the attached file.’이다. 제목은 ‘Approved (Ref: 38446-263)’ ‘Cool screensaver’ 등이고 첨부 파일명은 ‘application.pif’ ‘approved.pif’ 등으로 다양하다.

또한 팔리 웜은 네트워크의 모든 공유 자원을 검색해 읽기/쓰기 가능한 폴더 및 드라이브에 자신을 복사하기 때문에 사내 네트워크에 상당한 피해를 줄 것으로 보인다.

웜이 지정한 특정 사이트에 접속해 최신 버전의 웜 파일을 받아오거나 다른 악의적인 파일을 받아 올 수도 있다. 또한 시스템 날짜를 확인하여 2003년 5월 31일 이후에는 웜이 첨부된 메일 발송은 하지 않는다.

안철수연구소 시큐리티 대응센터 조기흠 센터장은 "메일 발신인과 본문 내용이 일정하므로 이에 유의해서 의심스런 메일은 바로 삭제하는 것이 안전하며. 첨부 파일을 실행한 경우 최신 버전의 백신으로 진단/치료해야 한다"라고 말했다.

보충 자료: 발송되는 메일의 제목과 첨부 파일명 목록

* 메일 제목(다음 중에서 선택된다.)
- Approved (Ref: 38446-263)
- Cool screensaver
- Re: Approved (Ref: 3394-65467)
- Re: Movie
- Re: My application
- Re: My details
- Screensaver
- Your details
- Your password

* 첨부 파일명(다음 중에서 선택된다.)
- application.pif
- approved.pif
- doc_details.pif
- movie28.pif
- password.pif
- ref-394755.pif
- screen_doc.pif
- screen_temp.pif
- your_details.pif