본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

Geno 악성코드 감염 숙주 사이트 국내에서도 발견

보안공지 2009-05-21

안녕하십니까?
이스트소프트 알약 긴급대응팀입니다.
최근 미국과 일본에서 가장 큰 웹 관련 악성코드 위협으로 떠오른 Geno 악성코드가 국내 사이트 해킹을 통해서 감염 전파를 시도한 사례가 발견되었습니다.


Geno 악성코드는 일본의 PC 판매 사이트인 Geno의 웹사이트가 해킹을 당해 악성코드를 전파하면서 언론에서는 Geno 바이러스로 사건들을 통칭해 부르고 있으며 Gumblar, Daonol, Gadjo, Kates, Geno 등 여러 이름들을 가지고 있습니다.


[감염 경로]


Adobe사의 아크로뱃 프로그램 및 플래시 프로그램의 취약점이 패치되지 않은 PC에서 숙주 사이트에 접속할 경우, Geno 악성코드에 감염됩니다. 일본에서는 주로 만화, 에니메이션, 게임 관련 사이트들이 Geno 악성코드를 유포하는 숙주 사이트가 되었고, 국내에서는 레크레이션 관련 사이트에서 최초 발견되었습니다.


국내에서 발견된 Geno 숙주 사이트

<국내에서 발견된 Geno 숙주 사이트>


숙주 사이트내에 삽입된 악성코드 전파 스크립트

<숙주 사이트내에 삽입된 악성코드 전파 스크립트>


 

[감염 증상]


1) FTP 로그인 정보가 악성코드에 의해 누출될 수 있습니다.
2) 일부 바이러스 백신 사이트으로의 접근을 차단하고 보안 프로그램의 실행을 차단합니다.
3) 검색엔진 구글의 검색 결과들을 특정 웹사이트로 리다이렉트(redirect)시킵니다.


[치료 방법]


알약을 설치하여 최신DB로 업데이트한 후 수동으로 검사를 실시합니다. 현재 알약에서는 Geno 악성코드의 숙주 사이트들에 사용자가 접근하는 경우 감염 스크립트의 실행을 실시간 감시에서 진단명 Trojan.JS.PYV으로 차단하며, 이미 감염된 경우라도 진단명 Trojan.Dropper.Agent.UNR 혹은 Trojan.Daonol.D로 진단 및 치료가 가능합니다.


[예방 방법]


현재는 악성코드를 전파하는 상위 서버가 차단되어 악성코드를 다운로드 받지 않지만 상위 서버의 주소를 바꾸어 다시 재 전파할 가능성이 매우 높고, 이와 유사하게 보안이 취약한 다른 국내 사이트에서도 웹 해킹을 통한 숙주 사이트로 돌변할 수 있는 위험성이 계속 존재합니다.


1) Adobe사의 아크로뱃 및 플래시 프로그램의 보안패치를 설치합니다.
[아크로뱃 보안취약점 안내1]
[아크로뱃 보안취약점 안내2]
[최신 플레쉬 플레이어 설치]


2) Windows 보안패치 및 백신 DB 업데이트를 항상 최신으로 유지합니다.


3) 실시간 감시 기능을 항상 활성화시킵니다.


4) 서버관리자들은 자신이 관리하는 웹사이트의 취약점을 항상 점검해야 합니다.