이 글이 굴림으로 보이시거나, 맑은 고딕으로 보이심에도 불구하고 매우 흐릿하게 보이십니까? 해결 방법에 이곳을 참고하십시오.
블로그 내 에서 이 글을 보신다면, 위 아래에 열거되는 링크는 반드시 Shift + Click 하시거나 탭 브라우저의 경우 마우스 휠로 클릭해주십시오.
호기심에 사이트에 접속하지 마십시오. 이 글이 경고 목적으로 게시된 것임을 인지하세요. 피해에 대한 보상은 하지 않습니다.
오전 10:20 2010-09-25 현재 악성 유포가 활성화 되어 있습니다.
오후 12:16 2010-09-25 현재 유포가 활성화 되어 있지 않고, 문제가 해결되었습니다.
국내에서는 인터넷 서점으로 유명한 알라딘(Aladin) 사이트의 메인이 악의적인 목적을 가진 사용자에 의해 강제수정되어, 현재 접속에 주의를 요합니다. 저도 자주 접속하는 사이트이고 하루에도 엄청난 숫자의 방문자가 있는 것을 감안할 때, 유감이 아닐 수 없습니다. 알라딘이라는 회사 특성상 1시까지 많은 분들이 사용하시는 것을 생각하면 오늘 안에 수정이 되지 않을까 싶습니다만, 비교적 간단한 것에도 당하는 것을 보면, 역시 신뢰도가 떨어진다고 판단해야 할 것 같습니다. 이 글이 완성될 때까지도 해결이 되지 않는다면 신고할 생각입니다.
그러니, 주의 하십시오.
악성 파일은 알라딘 메인 페이지에서 로드 되는 JavaScript 파일인 alajax.js 파일로 인해 다운로드 됩니다. 이 파일은 원래는 정상적인 파일이지만, 악의적인 목적을 가진 사용자에 의해 강제 수정되어 업로드 되었습니다. 그래서, 아래와 같은 Document 구문이 강제 삽입되어 사용자들 몰래 다운로드 되고 있습니다.
이 파일이 정상적으로 다운로드를 수행할 때, TT.asp 파일이 다운로드 되며, 이 파일은 아래와 같은 내용을 포함하고 있습니다. 이 내용은 악의적인 내용이며, 암호화 되었습니다.
이 내용을 복호화 할 경우, 아래와 같은 스크립트가 나타나게 됩니다.
이 파일을 복호화 할 경우,
최종 파일에 대한 링크가 보입니다. 최종 다운로드 파일의 이름은 t.exe 입니다.
이 파일은 또 다른 파일을 추가로 다운로드 하여, 각종 윈도우 중요 프로세스에 자신의 파일 dll을 강제로 인젝션 시킵니다. 이 파일들의 이름은 hanrou12.dll, hanruo20.dll, hanruo10.dll 입니다. 또한, iexplorer.exe (정상) 과 같은 파일과 위장을 위해 약간 이름을 바꾸는 iexplore.exe 등의 나름 위장으로 사용자의 컴퓨터를 위협할 수 있습니다. 이 파일은 3개 이상의 악성 파일을 추가로 설치하는 것으로 알려졌습니다.
T.exe 파일의 바이러스 토탈 결과는 아래와 같습니다.
AhnLab-V3 2010.09.25.00 2010.09.24 Win-Trojan/Onlinegamehack.67527
AntiVir 7.10.12.30 2010.09.24 TR/Obfuscated.EX.793
Antiy-AVL 2.0.3.7 2010.09.24 -
Authentium 5.2.0.5 2010.09.24 W32/Packed.Krap.A!Eldorado
Avast 4.8.1351.0 2010.09.24 -
Avast5 5.0.594.0 2010.09.24 -
AVG 9.0.0.851 2010.09.25 Klone.AP
BitDefender 7.2 2010.09.25 Worm.Generic.275559
CAT-QuickHeal 11.00 2010.09.24 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.09.25 -
Comodo 6191 2010.09.25 Heur.Packed.Unknown
DrWeb 5.0.2.03300 2010.09.25 -
Emsisoft 5.0.0.37 2010.09.24 Worm.Win32.Taterf!IK
eSafe 7.0.17.0 2010.09.21 -
eTrust-Vet 36.1.7875 2010.09.25 -
F-Prot 4.6.2.117 2010.09.24 W32/Packed.Krap.A!Eldorado
F-Secure 9.0.15370.0 2010.09.25 Worm.Generic.275559
Fortinet 4.1.143.0 2010.09.24 -
GData 21 2010.09.25 Worm.Generic.275559
Ikarus T3.1.1.88.0 2010.09.24 Worm.Win32.Taterf
Jiangmin 13.0.900 2010.09.21 -
K7AntiVirus 9.63.2600 2010.09.24 Riskware
Kaspersky 7.0.0.125 2010.09.25 -
McAfee 5.400.0.1158 2010.09.25 Generic.dx!tyv
McAfee-GW-Edition 2010.1C 2010.09.25 Artemis!3A163CB62292
Microsoft 1.6201 2010.09.24 VirTool:Win32/Obfuscator.EX
NOD32 5477 2010.09.24 a variant of Win32/Pacex.BI
Norman 6.06.06 2010.09.24 W32/Viking.gen5
nProtect 2010-09-24.02 2010.09.24 -
Panda 10.0.2.7 2010.09.24 Suspicious file
PCTools 7.0.3.5 2010.09.25 -
Prevx 3.0 2010.09.25 -
Rising 22.66.00.07 2010.09.21 -
Sophos 4.58.0 2010.09.24 Sus/UnkPack-C
Sunbelt 6925 2010.09.25 Worm.Win32.Taterf.b (v)
SUPERAntiSpyware 4.40.0.1006 2010.09.25 -
Symantec 20101.1.1.7 2010.09.25 Suspicious.Cloud
TheHacker 6.7.0.0.031 2010.09.25 -
TrendMicro 9.120.0.1004 2010.09.24 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.25 -
VBA32 3.12.14.1 2010.09.24 MalwareScope.Worm.Viking.2
ViRobot 2010.9.24.4059 2010.09.24 Trojan.Win32.Obfuscator.67527
VirusBuster 12.65.25.0 2010.09.24 -
MD5: 3a163cb62292b07853cb23f1fc9dcc40
SHA1: 74cb4de6a58e5e2dc3b69efed668d1e69f26a49c
SHA256: 97356f58a39444668b26d10bf31ed9a7d4dbe46df0f7c99d2db09fd82a6a2017
File size: 67527 bytes
붉고 굵은 줄은 정식 진단이며, 굵은 줄은 휴리스틱 진단입니다.
해당 사이트에 접근하지 않으시는 걸 권장합니다. 한번이라도 감염 위험이 있는 사이트는 접근을 자제하고, 후에 해결되더라도 계속 주의 깊게 지켜보는 습관이 필요함을 잊지 마십시오.
'IT, Security' 카테고리의 다른 글
| 2010년 10월 마이크로소프트 보안 공지 발표 (0) | 2010.10.14 |
|---|---|
| 알라딘(Aladin) 사이트가 타인에 의해 악의적인 목적으로 다시 한번 강제 수정 되었다 (7) | 2010.09.25 |
| 리소스 높은 안티 바이러스는 무겁다? (4) | 2010.09.19 |
| 2010년 9월 마이크로소프트 보안 공지 발표 (0) | 2010.09.16 |
| 인터넷 서점 최초로 브라우저 업그레이드를 도움말에 게시한 알라딘 (2) | 2010.09.06 |
