본문 바로가기
IT, Security

멀티모레니아(multi-lemonia) 사이트가 타인에 의해 악의적인 목적으로 강제수정 되었다

세의 2010. 11. 28. 11:30

이번 글을 쓰는 것에 대해, 네이버 카페 바이러스 제로 시즌2의 회원 분께서 직접적인 자료를 제공해주셨습니다.

 

 

 

멀티모레이나 사이트는 J-POP에 관련한 사이트로 알려졌습니다. 현재 이 사이트가 타인에 의해 악의적인 목적으로 강제수정 되어, 접근하는 분들께서는 조심하시는 것이 좋습니다. 현재 이 사이트는 Internet Explorer로 접근할 경우 다음과 같은 경고 창이 생성되면서 Internet Explorer에서 접근을 차단합니다. 이는 SmartScreen 필터와는 별개로 동작하는 윈도우의 보호 기능인 DEP(데이터 실행 방지)에 의한 판단으로, 이러한 경고는 Internet Explorer와 Windows가 페이지에 이상이 있음을 감지하고 차단하는 것이므로, 반드시 이를 숙지하여 다시는 접속하는 일이 없어야 합니다. 단, 테스트는 Internet Explorer 8에서 했으므로 이 이하에서는 어떨지 모르겠습니다.

그렇다면 왜 이러한 메시지가 뜨는 것인지 확인해보겠습니다. 메인페이지의 hXXp://(삭제)-lemonia.com/(삭제)/top.js(정상파일)에서 강제 수정이 된 모습을 확인할 수 있습니다.

 

 

가장 밑에서 A.asp가 다운로드 되는 것을 확인할 수 있습니다. 이는 홈페이지의 정상적인 로드가 아니므로, 악의적인 위협입니다. A.asp는 오픈할 경우 추가적인 위협 A1.asp를 다운로드 하며, 가장 밑에 통계 URL을 삽입해 놓고 있습니다. A.asp와 A1.asp의 사진은 아래와 같습니다.

 


(A.asp)

 


(A1.asp)

 

확인 결과, 이 스크립트들은 최종적으로 CVE-2010-0806를 사용하는 것으로 나타났으며, 이미 마이크로소프트는 이에 대한 패치를 완료하여, 제공 하고 있습니다. 이름은 Microsoft 보안 권고(981374) Internet Explorer의 취약점으로 인한 원격 코드 실행 문제점 보안패치 코드는 MS10-018이며, 대상은 Internet Explorer 6~7 버전입니다. 보안패치가 되지 않은 분들은 이 스크립트의 취약점으로 인해 또 다른 악의적인 파일을 다운로드 할 수 있으나, 보안패치가 완료된 분들은 이 스크립트 선 상에서 다운로드는 끝나, 비록 이 스크립트를 안티 바이러스 소프트웨어가 검출하지 못한다 하더라도 최종적으로 볼 때 사용자의 컴퓨터는 안전하다고 볼 수 있습니다.

이 스크립트들이 최종적으로 다운로드 하는 파일은 Help.exe 파일입니다. 이에 대한 바이러스 토탈 결과를 삽입합니다. 이용에 참고하시기 바랍니다. 아 참, 마찬가지로 IE6~7을 대상으로 하는 취약점이기 때문에 다른 브라우저에서는 이상 없이 잘 들어가진 겁니다. ^^ 도움되시길 바랍니다. 그렇다고 안전하다는 것은 아니죠. 바이러스 토탈에서 하나 참고하실 것은, 안철수연구소 엔진은 어제까지는 진단하지 못했으나 어제 밤~오늘 아침 이후로 진단하는 모습을 보인다는 겁니다.

이 파일은 추가적인 외부 연결이 존재하는 것으로 알려졌습니다.

 

  1. Antivirus    Version    Last Update    Result
  2. AhnLab-V3    2010.11.28.00    2010.11.27    Win-Trojan/Injector.103692
  3. AntiVir    7.10.14.126    2010.11.27    TR/Crypt.XPACK.Gen
  4. Antiy-AVL    2.0.3.7    2010.11.28    -
  5. Avast    4.8.1351.0    2010.11.27    Win32:Malware-gen
  6. Avast5    5.0.594.0    2010.11.27    Win32:Malware-gen
  7. AVG    9.0.0.851    2010.11.28    Klone.AP
  8. BitDefender    7.2    2010.11.28    Trojan.Generic.5135894
  9. CAT-QuickHeal    11.00    2010.11.27    (Suspicious) - DNAScan
  10. ClamAV    0.96.4.0    2010.11.28    -
  11. Command    5.2.11.5    2010.11.27    W32/Packed.Krap.A!Eldorado
  12. Comodo    6873    2010.11.28    MalCrypt.Indus!
  13. DrWeb    5.0.2.03300    2010.11.28    -
  14. Emsisoft    5.0.0.50    2010.11.27    Worm.Win32.Taterf!IK
  15. eSafe    7.0.17.0    2010.11.24    -
  16. eTrust-Vet    36.1.8003    2010.11.26    -
  17. F-Prot    4.6.2.117    2010.11.27    W32/Packed.Krap.A!Eldorado
  18. F-Secure    9.0.16160.0    2010.11.27    Trojan.Generic.5135894
  19. Fortinet    4.2.254.0    2010.11.27    -
  20. GData    21    2010.11.28    Trojan.Generic.5135894
  21. Ikarus    T3.1.1.90.0    2010.11.27    Worm.Win32.Taterf
  22. Jiangmin    13.0.900    2010.11.27    -
  23. K7AntiVirus    9.69.3103    2010.11.27    Riskware
  24. Kaspersky    7.0.0.125    2010.11.28    -
  25. McAfee    5.400.0.1158    2010.11.28    Generic.dx!uzu
  26. McAfee-GW-Edition    2010.1C    2010.11.28    Heuristic.LooksLike.Win32.Suspicious.F
  27. Microsoft    1.6402    2010.11.27    PWS:Win32/Magania.gen
  28. NOD32    5654    2010.11.28    a variant of Win32/Pacex.BO
  29. Norman    6.06.10    2010.11.27    W32/Viking.gen5
  30. nProtect    2010-11-27.01    2010.11.27    Trojan/W32.Agent.103692.C
  31. Panda    10.0.2.7    2010.11.28    Trj/CI.A
  32. PCTools    7.0.3.5    2010.11.28    Trojan.ADH
  33. Prevx    3.0    2010.11.28    -
  34. Rising    22.75.04.00    2010.11.27    Packer.Win32.Mian007.a
  35. Sophos    4.60.0    2010.11.28    Sus/UnkPack-C
  36. SUPERAntiSpyware    4.40.0.1006    2010.11.28    -
  37. Symantec    20101.2.0.161    2010.11.28    Trojan.ADH.2
  38. TheHacker    6.7.0.1.092    2010.11.28    -
  39. TrendMicro    9.120.0.1004    2010.11.27    -
  40. TrendMicro-HouseCall    9.120.0.1004    2010.11.28    -
  41. VBA32    3.12.14.2    2010.11.26    Trojan.Enumerate.xa
  42. VIPRE    7431    2010.11.28    Worm.Win32.Taterf.b (v)
  43. ViRobot    2010.11.19.4158    2010.11.27    Trojan.Win32.PSWIGames.103692
  44. VirusBuster    13.6.63.1    2010.11.27    -
  45. Additional information
  46. Show all
  47. MD5 : 7db925f5a1001a6d899e6032969ffb02
  48. SHA1 : fa38594e1ecd77eddb858871deb0e89ea1790242

 

이용에 참고하셔서 사이트 접근에 주의 하시길 바랍니다. 마지막으로 공지할 것은, 제가 제공하는 이 정보는 경고의 목적이지 사이트의 방문자 수에 해를 끼치거나, 이 글을 본 방문자가 시험 삼아 접근하라고 정보를 제공하는 것이 아닙니다. 네 멋대로 방문했다가 곤란한 상황에 처했을 때 전 아~무 관심도, 상관도 없습니다.

'IT, Security' 카테고리의 다른 글

2010년 12월 마이크로소프트 보안 공지 발표  (0) 2010.12.16
츄츄만화(good.chuing.me)사이트가 타인에 의해 악의적인 목적으로 강제수정 되었다  (0) 2010.11.30
옐로우캡(yellowcap) 배송조회 부분이 타인에 의해 악의적인 목적으로 강제수정 되었다  (0) 2010.11.25
2010년 10월 마이크로소프트 보안 공지 발표  (0) 2010.10.14
알라딘(Aladin) 사이트가 타인에 의해 악의적인 목적으로 다시 한번 강제 수정 되었다  (7) 2010.09.25

'IT, Security' Related Articles

티스토리툴바