WMF 취약점 이용 새로운 공격 시도 발견

온라인 게임 아이디와 암호 유출 시도

지오트 바이러스 분석실(GCERT www.geot.com)은 GWHS(Geot Web Hacking Scan)자동화 모니터링 시스템을 통해 15일 오후 7시경 국내 유학관련 사이트에서 korea.wmf 파일을 유포중인 것을 발견했다고 16일 발표했다.

해당 유학관련 사이트에 접속을 하게 되면 인덱스 파일에 포함된 아래의 자바스크립트 코드가 실행된다.

search.js 에 의해서 내부에 포함된 아이프레임이 자동으로 실행된다.

korea.wmf 파일은 보안취약점을 이용해 임시폴더에 korea.exe 를 생성하고 실행한다. korea.exe 는 다시 시스템폴더에 a.exe 를 생성하고, a.exe 는 Explore.exe 와 plugin1.dat 파일을 생성한다.

이외에도 지오트는 농산물 관련 한국사이트 1곳, 중국사이트 2곳에서 wmf 취약점을 이용한 트로이목마가 유포중인 것도 GWHS 모니터링 과정에서 발견됐고 지난 주말사이에는 새로운 국산 온라인 게임의 아이디와 암호를 유출시도 하는 새로운 종류의 트로이목마가 유포된 것이 발견됐다고 밝혔다.

그동안 국내 사이트를 해킹해 유포했던 트로이목마는 국산게임의 사용자 정보를 유출시도한적이 있고 14일에는 2곳, 15일에는 3곳의 국내 사이트에서 유포된 Sevad.exe(20,480 바이트)와 noad.dll(25,600 바이트) 파일은 국산 온라인 롤플레잉 게임에서 사용자의 정보를 유출 시도하는 것으로 확인됐다고 밝혔다.

이처럼 국내의 유명 온라인 게임들의 개인정보를 도용할려는 시도가 지속적으로 발견됨에 따라 게임업체와 게임사용자, 인터넷 사용자들의 각별한 주의가 필요하며 인터넷 게임사용자가 아닐지라도 이러한 트로이목마에 감염될 경우 인터넷 속도가 현저히 느려지거나 응용프로그램 오류등의 부작용이 발생할 수 있다고 밝혔다.

위의 보안취약점을 위해 최신의 백신프로그램과 인터넷 익스플로러를 사용하며, 아래의 보안패치는 반드시 설치해야 한다.

www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp

www.microsoft.com/korea/technet/security/bulletin/MS05-001.msp

지오트 관계자는 “이러한 목적을 가진 행위가 해킹으로 연결되어 국내의 많은 웹사이트가 해킹의 위험에 노출되고 있다”며 “이처럼 많은 사이트들이 웹사이트 변조피해로 인하여, 불특정다수의 사이트 접속자들에게 악의적인 트로이목마 프로그램을 유포하고 있어 각별한 주의가 요망된다”고 당부했다.

[길민권 기자(is21@infothe.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다