악성코드의 추가 배포는 25일 오전 10시 30분부터 시작됐으며, 기업은 물론 불특정 다수를 대상으로 개인PC에 유포된 점이 특징이다.
안랩에 따르면 이번 악성코드 변종은 지난 20일 1차 공격 때 사용된 MBR(Master Boot Record) 파괴기능에 더해 C&C(Command & Control)서버와 통신하는 백도어 설치기능이 추가됐다. 이에 따라 공격자는 C&C서버와 교신을 통해 원하는 시간에 공격할 수 있다. 또 이 악성코드 변종은 기존 백신의 진단과 치료를 방해하는 기능이 있다.
안랩은 24일 오전 9시에 V3를 통해 해당 악성코드를 수집했다고 밝혔다. 현재 관련 정부기관의 조치로 현재 악성코드 유포 사이트와 C&C서버는 차단된 상태다.
안랩의 관계자는 “25일 오전 10시 30분부터 오후 1시 45분까지 수백 대 이상의 PC가 감염됐을 것으로 추정한다”며 “현재 C&C서버가 차단돼 실행명령은 내려올 수 없으나 기존과는 다른 방식으로 변종 배포를 시도하고 있어 주의해야 한다”고 말했다. 이어 “사람들이 많이 방문하지 않은 취약한 웹사이트는 당분간 이용하지 않는 것이 좋다”고 덧붙였다.