츄츄만화(good.chuing.me)사이트가 타인에 의해 악의적인 목적으로 강제수정 되었다

 

 

국내에서 한 때, 원피스 블리치 등등 매주 스캔본을 가장 빠르게 볼 수 있었던 곳으로 잘 알려지고, 현재는 애니메이션 및 기타 문화산업의 종합 커뮤니티를 제공하고 있는 츄잉 사이트가 현재 접속할 경우 사용자의 컴퓨터를 위협에 빠트릴 수 있는 상태입니다. 이에 따라 사용자는 보안 위협이 해결되기 전까지는 접속하지 않는 것이 좋으며, 보안 위협이 해결된다 하더라도 관리자의 관리 미흡으로 다시 수정될 수 있기 때문에 사용자는 앞으로 해당 사이트에 접근 할 때 매우 주의하는 것이 필요합니다.

현재 접속할 경우 메인 페이지에서 로드 되는 h(삭제)p://maria.(삭제)ng.me//js.js 부분이 악의적인 목적으로 강제 수정되었습니다. 아래 사진을 확인하시면 됩니다.

 

 

본래 정상 파일인 이 자바 스크립트 파일은 맨 위에 보시면 아시겠지만, document.write 문을 사용해 전혀 다른 링크가 추가되어, 접속할 경우 이 링크로 사용자 몰래 접속하도록 유도되어 있습니다. 이 스크립트는 악의적인 스크립트로, 안티 바이러스 소프트웨어에서는 진단할 수도 있고, 진단하지 않을 수도 있습니다. 취지는 악의적이지만 이 파일은 징검다리 역할을 하기 때문에, 대개의 안티 바이러스 소프트웨어는 이 파일 또한 진단하지만 그렇지 않는 곳도 있습니다. 가장 중요한 것은 이 스크립트가 다운로드 하는 실행 가능한 파일 (PE파일) 입니다.

 

 

이 파일은 암호화 되어 있으며, 추가적인 다운로드로 카운트 해주는 스크립트와 A1.asp 파일을 추가로 다운로드 합니다. 이 파일은 암호화 된 문장을 이용하여 악의적인 파일을 다운로드 하도록 설계되어 있는 것이 특징입니다. A1.asp 또한 마찬가지 입니다.

 

 

위 사진은 A1.asp 입니다. 암호화가 되어 있긴 합니다. 이 스크립트는 악의적인 파일을 다운로드 하기 위해 존재하는 스크립트이며, 취약점을 이용합니다. 따라서, 취약점이 존재하는 컴퓨터의 경우 안티 바이러스가 검출해내지 못한다면, 악의적인 파일을 다운로드 하여 사용자의 개인정보유출 및 기타 피해를 당하실 수 있습니다.

이 스크립트가 이용하는 취약점은 Microsoft Windows OS를 대상으로 한 취약점이며, 이미 Microsoft로부터 취약점 해결에 대한 보안패치가 권고된 상태입니다. [Microsoft 보안 권고(981374) Internet Explorer의 취약점으로 인한 원격 코드 실행 문제점 , CVE-2010-0806 / 보안패치 : MS10-018] 사용자는 반드시 보안패치를 통해 위협을 초기에 바로 잡으시길 바랍니다. 비록 안티 바이러스 소프트웨어가 최종 파일을 진단하지 못하더라도, 보안패치가 되어 있을 경우 위의 A1.asp 등의 파일은 다운로드만 되고 취약점을 통한 악의적인 파일의 추가 다운로드는 되지 않으므로 안전합니다. 그 외 반드시 다른 기타 소프트웨어들의 패치 또한 주기적으로 해주는 것이 옳으며, 다른 브라우저를 사용하는 것 또한 추천할 만한 일입니다. 예를 들어 오페라 같은 거요. -_-;

최종 다운로드 파일은 악의적인 파일이며, 파일 이름은 help.exe 입니다.

 

1. Antivirus    Version    Last update    Result
2. AhnLab-V3    2010.11.30.00    2010.11.29    Trojan/Win32.OnlineGameHack
3. AntiVir    7.10.14.137    2010.11.30    TR/Crypt.XPACK.Gen
4. Antiy-AVL    2.0.3.7    2010.11.30    -
5. Avast    4.8.1351.0    2010.11.29    -
6. Avast5    5.0.677.0    2010.11.29    Win32:KillAV-KH
7. AVG    9.0.0.851    2010.11.30    Klone.AP
8. BitDefender    7.2    2010.11.30    -
9. CAT-QuickHeal    11.00    2010.11.30    -
10. ClamAV    0.96.4.0    2010.11.30    -
11. Command    5.2.11.5    2010.11.30    W32/Packed.Krap.A!Eldorado
12. Comodo    6900    2010.11.30    MalCrypt.Indus!
13. DrWeb    5.0.2.03300    2010.11.30    -
14. Emsisoft    5.0.0.50    2010.11.30    Worm.Win32.Taterf!IK
15. eSafe    7.0.17.0    2010.11.29    -
16. eTrust-Vet    36.1.8008    2010.11.30    -
17. F-Prot    4.6.2.117    2010.11.29    W32/Packed.Krap.A!Eldorado
18. F-Secure    9.0.16160.0    2010.11.30    -
19. Fortinet    4.2.254.0    2010.11.29    -
20. GData    21    2010.11.30    -
21. Ikarus    T3.1.1.90.0    2010.11.30    Worm.Win32.Taterf
22. Jiangmin    13.0.900    2010.11.30    -
23. K7AntiVirus    9.69.3115    2010.11.29    Riskware
24. Kaspersky    7.0.0.125    2010.11.30    -
25. McAfee    5.400.0.1158    2010.11.30    -
26. McAfee-GW-Edition    2010.1C    2010.11.30    Heuristic.LooksLike.Win32.Suspicious.F
27. Microsoft    1.6402    2010.11.30    PWS:Win32/Magania.gen
28. NOD32    5660    2010.11.30    a variant of Win32/Kryptik.IGL
29. Norman    6.06.10    2010.11.29    W32/Viking.gen5
30. nProtect    2010-11-30.01    2010.11.30    -
31. Panda    10.0.2.7    2010.11.29    Trj/CI.A
32. PCTools    7.0.3.5    2010.11.30    -
33. Prevx    3.0    2010.11.30    -
34. Rising    22.76.01.04    2010.11.30    Packer.Win32.Mian007.a
35. Sophos    4.60.0    2010.11.30    Mal/Encpk-VY
36. SUPERAntiSpyware    4.40.0.1006    2010.11.30    -
37. Symantec    20101.2.0.161    2010.11.30    -
38. TheHacker    6.7.0.1.093    2010.11.30    -
39. TrendMicro    9.120.0.1004    2010.11.30    -
40. TrendMicro-HouseCall    9.120.0.1004    2010.11.30    -
41. VBA32    3.12.14.2    2010.11.29    Trojan.Enumerate.xa
42. VIPRE    7451    2010.11.30    Worm.Win32.Taterf.b (v)
43. ViRobot    2010.11.30.4177    2010.11.30    -
44. VirusBuster    13.6.66.0    2010.11.29    -
45. MD5: 99b0014d89b9d17d335329f59ca97996
46. SHA1: cfec1279ef9133745d4b62f6c1cbba2daac37854

 

현재 안철수연구소는 이 파일을 정확하게 진단하고 있습니다만, 참고해야 하실 것이 있습니다. 저 진단은 Ahnlab Smart Defense 기능으로 인해 진단하는 것이며, 반드시 ASD 기능을 활성화 시키셔야 검출이 가능합니다. 또한 Avast! AntiVirus Software 또한 4.8 버전은 진단하지 못하고, 5.0 버전은 진단하므로 이 또한 참고하셔야 하며, 국내에서 Bitdefender 엔진을 사용하는 알약 등은 아직 검출하지 못함을 참고하십시오. (비전파워 쪽에서 검출이 가능할 수도 있습니다.)

이 파일은 중국에서 제작되었으며, 지속적인 변종으로 인해 안티 바이러스의 직접적인 대응이 힘듭니다. 또한 사용자의 계정을 훔쳐가는 것으로 예상됩니다. 반드시 안티 바이러스 소프트웨어의 실시간 감시를 종료하지 마십시오. 그러나 가장 중요한 것은 아무래도 보안패치의 여부이겠죠. 사용자는 자신이 사용하는 모든 소프트웨어를 최신으로 유지하여 언제 닥쳐올지 모르는 새로운 보안위협에 대비해야 합니다.

마지막으로 알려드릴 것은, 링크 내 모자이크를 아주 기초적인 것 외에는 하지 않았습니다. 들어가서 확인하라고 하는 것이 아닙니다. 이 글은 경고의 목적이며, 사용자에게 해를 입히는 정보를 제공하거나, 사이트 관리자의 방문자 숫자를 줄이려고 게시하는 글이 아님을 명심하십시오. 행여 제 경고를 무시하고 접속하셨다가 피 보셔도, 저는 아무런 책임을 지지 않습니다.