이 글이 굴림으로 보이시거나, 맑은 고딕으로 보이심에도 불구하고 매우 흐릿하게 보이십니까? 해결 방법에 이곳을 참고하십시오.
블로그 내 에서 이 글을 보신다면, 위 아래에 열거되는 링크는 반드시 Shift + Click 하시거나 탭 브라우저의 경우 마우스 휠로 클릭해주십시오.
호기심에 사이트에 접속하지 마십시오. 이 글이 경고 목적으로 게시된 것임을 인지하세요. 피해에 대한 보상은 하지 않습니다.
그림에 대한 악성 URL을 수정하지 않았습니다. 매우 중요한 목적이 있는 경우를 제외하고는 절대! 접속하지 마시길 당부합니다!
오전 10:20 2010-09-25 현재 악성 유포가 활성화 되었고, 오후 12:16 2010-09-25 문제가 해결 되었었으나, 오후 7:48 2010-09-25 다시 유포가 발견되어 이를 게시합니다!
글의 수정을 요청하지 말아주십시오. 현재
오전 11:54 2010-09-26 (실효 12시간 전) 부터 문제가 해결되었음을 확인하였습니다.
알라딘 사이트가 다시 한번 악의적인 목적으로 강제 수정 되었습니다. 하루에 두 번 강제 수정 되다니 정말 어처구니가 없습니다. 하루에 몇 명이 이 곳을 방문하는데, 정말 실망을 금할 길이 없군요. 사실, 첫 유포를 통해 고객센터에 신고 하면서 답장을 받은 것이 있습니다. 12시 55분 쯤에 고객센터에서 전화도 왔는데 그건 못 받았고요. 원래 제가 폰을 잘 안 쓰는 성격이라… -_-;;
안녕하세요,
알라딘 고객센터 입니다.
이용에 불편 드린 점 사과드립니다.
저희 내부적으로도 문제 파악 후 긴급히 관련 작업을 진행하였고
오전 11:30분 전후 부터는 정상화되었음을 확인했습니다.
혹시라도 재접속 하셨을 때 동일 증상을 경험하셨을 경우 신고해주시면 즉시 재점검 하겠습니다.
깊은 관심과 비판 아울러, 장애증상 신고에 대해 감사드립니다.
이용에 불편 없도록 재발방지에 최선을 다하겠습니다.
감사합니다.
뭐 원래 기업들이 하는 말이 다 입에 바른 말만 하고 실천 하지 않는다는 것은 잘 알고 있습니다만, 기존의 알라딘 이미지를 상당히 좋게 보고 있던 저로써는 정말… 어휴.
이번 경로는 처음과 약간 다릅니다. 처음이 알라딘 메인에서 다운로드 되는 alajax.js 파일이 악의적인 목적으로 수정 되어 악의적인 파일을 다운로드 하는 것에 쓰였다면, 이번에는 qsearch 에서 작동되는 qs*.html 파일이 악의적인 목적으로 수정되어 해당 부분에 스크립트가 삽입되어 있습니다. 아래 그림을 통해 알 수 있습니다. 맨 아래 부분입니다.
이 파일은 지난 번에 유포했던 것과 동일한 서버에서 동일한 파일을 다운로드 받아 옵니다. 지난 번 루트로 보면 TT.ASP는 T.EXE를 다운로드 합니다. 그러나 이번에는 해쉬값, 즉 변종이 유포되고 있습니다. 따라서 기존에 진단했던 백신들 중 다수가 이것을 진단하지 못하고 대응하지 못하고 있습니다. 그 증거로, 바이러스 토탈 안티 바이러스 목록 기준으로 기존에 확인되었던 T.exe(74CB4DE6A58E5E2DC3B69EFED668D1E69F26A49C)의 경우 42개의 안티 바이러스 중 24개가 진단한 것에 비해, 이번 변종 T.exe(A36A2B3BEED4C2384C4DFDCDF87B35ED6ECBC61C)은 총 42개 안티 바이러스 중 15개 밖에 진단하지 못했습니다. 이번 변종을 완벽하게 검출해 낸 것은 안철수연구소 제품군과 AVG 뿐이군요.
이 파일은 전 게시글에서도 적었듯이, hanrou12.dll, hanruo20.dll, hanruo10.dll, iexplore.exe 등을 설치해 국내 게임 계정의 비밀번호 등을 탈취하는 목적으로 설계된 것으로 보입니다. 중국에서 제작된 것으로 보아, 계정 탈취의 목적이 더욱 더 뚜렷하지 않나 싶군요.
| Antivirus | Version | Last update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.09.25.00 | 2010.09.24 | Dropper/Win32.OnlineGameHack |
| AntiVir | 7.10.12.30 | 2010.09.24 | - |
| Antiy-AVL | 2.0.3.7 | 2010.09.25 | - |
| Authentium | 5.2.0.5 | 2010.09.25 | W32/Packed.Krap.A!Eldorado |
| Avast | 4.8.1351.0 | 2010.09.24 | - |
| Avast5 | 5.0.594.0 | 2010.09.24 | - |
| AVG | 9.0.0.851 | 2010.09.25 | Klone.AP |
| BitDefender | 7.2 | 2010.09.25 | - |
| CAT-QuickHeal | 11.00 | 2010.09.24 | (Suspicious) - DNAScan |
| ClamAV | 0.96.2.0-git | 2010.09.25 | - |
| Comodo | 6192 | 2010.09.25 | Heur.Packed.Unknown |
| DrWeb | 5.0.2.03300 | 2010.09.25 | - |
| eSafe | 7.0.17.0 | 2010.09.21 | - |
| eTrust-Vet | 36.1.7875 | 2010.09.25 | - |
| F-Prot | 4.6.2.117 | 2010.09.24 | W32/Packed.Krap.A!Eldorado |
| F-Secure | 9.0.15370.0 | 2010.09.25 | - |
| Fortinet | 4.1.143.0 | 2010.09.25 | - |
| GData | 21 | 2010.09.25 | - |
| Ikarus | T3.1.1.88.0 | 2010.09.25 | Worm.Win32.Taterf |
| Jiangmin | 13.0.900 | 2010.09.25 | - |
| K7AntiVirus | 9.63.2600 | 2010.09.24 | Riskware |
| Kaspersky | 7.0.0.125 | 2010.09.25 | - |
| McAfee | 5.400.0.1158 | 2010.09.25 | - |
| McAfee-GW-Edition | 2010.1C | 2010.09.25 | - |
| NOD32 | 5477 | 2010.09.24 | - |
| Norman | 6.06.06 | 2010.09.25 | W32/Viking.gen5 |
| nProtect | 2010-09-25.01 | 2010.09.25 | - |
| Panda | 10.0.2.7 | 2010.09.25 | Suspicious file |
| PCTools | 7.0.3.5 | 2010.09.25 | - |
| Prevx | 3.0 | 2010.09.25 | - |
| Rising | 22.66.04.00 | 2010.09.25 | Packer.Win32.Mian007.a |
| Sophos | 4.58.0 | 2010.09.25 | Sus/UnkPack-C |
| Sunbelt | 6926 | 2010.09.25 | Worm.Win32.Taterf.b (v) |
| SUPERAntiSpyware | 4.40.0.1006 | 2010.09.25 | - |
| Symantec | 20101.1.1.7 | 2010.09.25 | Suspicious.Cloud |
| TheHacker | 6.7.0.0.031 | 2010.09.25 | - |
| TrendMicro | 9.120.0.1004 | 2010.09.25 | - |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.09.25 | - |
| VBA32 | 3.12.14.1 | 2010.09.24 | MalwareScope.Worm.Viking.2 |
| ViRobot | 2010.9.25.4060 | 2010.09.25 | - |
| VirusBuster | 12.65.25.0 | 2010.09.24 | - |
| Additional information |
|---|
| MD5: 2f227b3deeedb17fd1b0b79f74a05397 |
| SHA1: a36a2b3beed4c2384c4dfdcdf87b35ed6ecbc61c |
| SHA256: 1197cf5fd1278ac17aa892ac5e66fa7e92069a3746853ee54f5554d0079999df |
| File size: 67465 bytes |
| Scan date: 2010-09-25 10:37:36 (UTC) |
바이러스 토탈 목록입니다. 알라딘 사이트 접속에 주의하시고, 앞으로도 주의하시길 바라겠습니다. 특히 안철수연구소 제품군은 이 파일을 데이터베이스 진단, TS 엔진 진단이 아닌 ASD 진단으로 진단합니다. 참고 하시고 ASD 기능을 활성화 시켜 주십시오. 이런 대형 업체가 지속적으로 악의적인 목적으로 강제 수정 되는 것에는 문제가 있습니다. 더군다나 주말은 이러한 업체들의 고객센터가 모두 휴무가 되고, 또한 안티 바이러스 업체 마저도 약간은 업데이트가 느려집니다. 월요일에나 해결이 될 것 같은데 주말에는 접속을 자제하시는 것이 어떨는지요. 그 외, 이전에 게시된 게시글을 확인하시려면 아래의 관련 글을 참고해주십시오.
관련 글 - 알라딘(Aladin) 사이트가 타인에 의해 악의적인 목적으로 강제수정 되었다
'IT, Security' 카테고리의 다른 글
| 옐로우캡(yellowcap) 배송조회 부분이 타인에 의해 악의적인 목적으로 강제수정 되었다 (0) | 2010.11.25 |
|---|---|
| 2010년 10월 마이크로소프트 보안 공지 발표 (0) | 2010.10.14 |
| 알라딘(Aladin) 사이트가 타인에 의해 악의적인 목적으로 강제수정 되었다 (0) | 2010.09.25 |
| 리소스 높은 안티 바이러스는 무겁다? (4) | 2010.09.19 |
| 2010년 9월 마이크로소프트 보안 공지 발표 (0) | 2010.09.16 |
