본문 바로가기
IT, Security

게임동아(Gamedonga) 사이트가 타인에 의해 악의적인 목적으로 강제수정 되었다

세의 2010. 12. 18. 21:50

이 글은 원문이 있습니다. 원문은 최적화 된 읽기 상태와, 글의 지속적인 오류 수정 및 개선을 보장합니다. 글 하단에서 원문을 확인하세요.
이 글이 굴림으로 보이시거나, 맑은 고딕으로 보이심에도 불구하고 매우 흐릿하게 보이십니까? 해결 방법에 이곳을 참고하십시오.

 

게임 종합 정보 리뷰 사이트인 게임동아 사이트가 타인에 의해 악의적인 목적으로 강제수정 되어, 현재 접근하는 사용자들에게 위해를 끼칠 가능성이 있는 것으로 확인되었습니다. 이에 따라 사용자는 해당 사이트의 접속을 주의하시기 바라며, 자신의 소프트웨어를 최신으로 유지하는 등, 최소한의 유지 및 보수를 하는 것이 현명합니다. 또한 이는 가장 현실적인 대안이기도 합니다. 무엇보다 안티 바이러스 프로그램의 실시간 감시 기능을 절대로 중지해서는 안 됩니다.

 

현재 메인 페이지에서 활성화되는 정상적인 .ASP 파일 부분에 악의적인 문구를 삽입함으로 공격을 시도합니다. 현재 확인된 파일은 abtt.asp이며, 이 파일은 원래 게임동아의 정상적인 파일임에도 불구하고, 악의적인 사용자에 의해 위협을 끼칠 수 있습니다. (사진 아래 참고)

 

 

사진은 작아서 잘 안 보이실는지 잘 모르겠습니다만, 외부의 URL로 index.htm 파일이 추가로 다운로드 되는 모습이 보입니다.

 

 

이 파일은 총 2개의 파일을 다운로드 합니다. 하나는 보조 JS파일입니다. K.js 파일이라고 불리 우는 이 파일은 index.htm과 연동되는 파일이고, 또 하나는 카운터 파일로 악의적이지는 않으나 이 파일이 몇번 다운로드 되는가를 확인하는 것으로 생각됩니다. 다만 카운터 파일의 경우는 확실하지 않은 정보입니다. Index.htm 파일은 악의적인 파일을 받을 준비가 되어 있으며, 취약점을 사용합니다. 사용자의 소프트웨어에 취약점이 존재할 경우 이 index.htm 파일은 기능을 정상적으로 작동하게 되고, 추가적으로 악의적인 PE(EXE)파일을 다운로드 하게 됩니다. 이 파일이 사용하는 소프트웨어의 취약점은 Internet Explorer입니다.

이 파일이 정상적으로 실행된다면, h**p://(삭제).(삭제).107.3/log/x/T.exe 파일을 추가로 다운로드 하게 되며, 이 파일은 악의적인 행위를 목적으로 두는 악성 파일입니다. 보안 업체는 반드시 이 파일을 진단해야 합니다. 이제 취약점 정보를 알려드리겠습니다. 반드시 관련 취약점에 대한 보안패치를 하셔서 피해 없으시길 바랍니다. 기본적으로 통상 보안패치로 불리우는 소프트웨어의 업데이트를 하게 되면, index.htm 파일 까지는 다운로드가 됩니다만, 추가적인 T.exe 파일은 다운로드가 되지 않아 결론적으로는 안전합니다.

취약점의 경우 Internet Explorer의 취약점을 사용하고 있습니다. 이미 Microsoft에서는 이에 대한 보안패치를 내 놓았습니다. <Microsoft 보안 권고(981374) Internet Explorer의 취약점으로 인한 원격 코드 실행 문제점> 이 취약점은 지난 10년 03월 달 이전에 보고 되고 해결되었습니다. 사용자께서는 반드시 Windows Update 또는 Microsoft Update를 클릭하셔서 보안패치를 하시기 바랍니다. 해당 보안 취약점의 코드는 MS10-018입니다.

이제, T.exe 파일을 진단하는 안티 바이러스 소프트웨어를 알려드리겠습니다. 바이러스 토탈의 결과는 아래와 같습니다.

 

  • Antivirus    Version    Last Update    Result
  • AhnLab-V3    2010.12.18.00    2010.12.17    Malware/Win32.Suspicious
  • AntiVir    7.11.0.83    2010.12.17    TR/Dropper.Gen
  • Antiy-AVL    2.0.3.7    2010.12.18    -
  • Avast    4.8.1351.0    2010.12.17    -
  • Avast5    5.0.677.0    2010.12.17    -
  • AVG    9.0.0.851    2010.12.18    PSW.OnlineGames3.BBFS
  • BitDefender    7.2    2010.12.18    Generic.PWStealer.65D6090D
  • CAT-QuickHeal    11.00    2010.12.18    Win32.Packed.Klone.ap03
  • ClamAV    0.96.4.0    2010.12.17    PUA.Packed.NPack-2
  • Command    5.2.11.5    2010.12.18    W32/SysVenFak.B.gen!Eldorado
  • Comodo    7104    2010.12.18    TrojWare.Win32.Trojan.NSPM.~gen
  • DrWeb    5.0.2.03300    2010.12.18    Trojan.PWS.Wsgame.24246
  • Emsisoft    5.1.0.1    2010.12.18    Worm.Win32.Small!IK
  • eSafe    7.0.17.0    2010.12.16    Suspicious File
  • eTrust-Vet    36.1.8048    2010.12.17    -
  • F-Prot    4.6.2.117    2010.12.17    W32/SysVenFak.B.gen!Eldorado
  • F-Secure    9.0.16160.0    2010.12.18    Generic.PWStealer.65D6090D
  • Fortinet    4.2.254.0    2010.12.18    -
  • GData    21    2010.12.18    Generic.PWStealer.65D6090D
  • Ikarus    T3.1.1.90.0    2010.12.18    Worm.Win32.Small
  • Jiangmin    13.0.900    2010.12.18    -
  • K7AntiVirus    9.73.3277    2010.12.17    Riskware
  • Kaspersky    7.0.0.125    2010.12.18    -
  • McAfee    5.400.0.1158    2010.12.18    Suspect-AB!78BF27050976
  • McAfee-GW-Edition    2010.1C    2010.12.17    Heuristic.LooksLike.Win32.Suspicious.C
  • Microsoft    1.6402    2010.12.18    PWS:Win32/Frethog.MR
  • NOD32    5713    2010.12.18    probably a variant of Win32/PSW.OnLineGames.PDS
  • Norman    6.06.12    2010.12.17    W32/Packed_Nspack.A
  • nProtect    2010-12-18.01    2010.12.18    Generic.PWStealer.65D6090D
  • Panda    10.0.2.7    2010.12.18    Suspicious file
  • PCTools    7.0.3.5    2010.12.18    HeurEngine.ZeroDayThreat
  • Prevx    3.0    2010.12.18    -
  • Rising    22.78.04.01    2010.12.18    -
  • Sophos    4.60.0    2010.12.18    Mal/Behav-160
  • SUPERAntiSpyware    4.40.0.1006    2010.12.18    -
  • Symantec    20101.3.0.103    2010.12.18    Suspicious.Cloud.5
  • TheHacker    6.7.0.1.101    2010.12.15    W32/Behav-Heuristic-063
  • TrendMicro    9.120.0.1004    2010.12.18    -
  • TrendMicro-HouseCall    9.120.0.1004    2010.12.18    -
  • VBA32    3.12.14.2    2010.12.17    -
  • VIPRE    7703    2010.12.18    Packer.NSAnti.Gen (v)
  • ViRobot    2010.12.18.4208    2010.12.18    Trojan.Win32.Amvo.Gen
  • VirusBuster    13.6.100.0    2010.12.17    Packed/NSPack
  • Additional information
  • Show all
  • MD5 : 78bf27050976bf9b54aa47f738387c70
  • SHA1 : e478b8075ad1d85a642e00f908653c78500c6264

 

안철수연구소의 경우 진단을 ASD로 하고 있기 때문에 반드시 안랩 스마트 디펜스 기능을 활성화 시키셔야 합니다. 이 외에, 붉고 굵은 글씨는 정식진단이고, 그 외의 경우는 악성의심진단 입니다. 같은 진단처리이지만, 붉고 굵은 글씨는 사후처리에 더 강력합니다. 아무래도 전문적인 분석을 거쳐 업데이트 되었기 때문입니다. 그렇다고 악성의심진단이 나쁘다는 것은 아닙니다. 어쨌건 간에, 충분히 예방이 가능하므로 반드시 보안패치를 통해 이 문제를 해결하시기 바랍니다.

이 파일은 실행 될 경우, ole.dll 파일 등을 시스템 내에 삽입해, 사용자의 계정 정보를 빼내는 것으로 활용되는 것 같습니다. 실질적으로 ole.dll 파일에 대해서 안철수연구소의 V3는 정식 진단명인 Win-Trojan/Onlinegamehack.53248.HM을 내렸습니다. 절대 설치 되지 않게 주의하시고, 만약 감염되었을 경우 안티 바이러스 프로그램으로 치료하는 것이 현명합니다.

더불어, 이 글은 사이트의 방문자 수를 줄이기 위해서라거나, 허위 사실을 통해 피해를 끼치기 위해서 작성된 것이 아닙니다. 사용자의 주의를 위한 목적의 글이며, 따라서 사용자는 이 글을 통해 경각심만 일깨워야지 직접 테스트한다는 멍멍이 행동은 하지 않기를 진심으로 바랍니다. 또한 이를 통해 일어나는 피해는 제 책임이 아님을 명시하겠습니다.

 

Original Post

'IT, Security' 카테고리의 다른 글

[사용기] HAURI ViRobot Internet Security 2011 (1) - 머리말  (0) 2011.01.26
우리은행 오픈뱅킹의 한 가지 불만!  (2) 2010.12.28
2010년 12월 마이크로소프트 보안 공지 발표  (0) 2010.12.16
츄츄만화(good.chuing.me)사이트가 타인에 의해 악의적인 목적으로 강제수정 되었다  (0) 2010.11.30
멀티모레니아(multi-lemonia) 사이트가 타인에 의해 악의적인 목적으로 강제수정 되었다  (2) 2010.11.28

'IT, Security' Related Articles

티스토리툴바