Home > 전체기사

WMF 취약점 이용 새로운 공격 시도 발견

  |  입력 : 2006-01-16 00:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

온라인 게임 아이디와 암호 유출 시도 


지오트 바이러스 분석실(GCERT www.geot.com)은 GWHS(Geot Web Hacking Scan)자동화 모니터링 시스템을 통해 15일 오후 7시경 국내 유학관련 사이트에서 korea.wmf 파일을 유포중인 것을 발견했다고 16일 발표했다.


해당 유학관련 사이트에 접속을 하게 되면 인덱스 파일에 포함된 아래의 자바스크립트 코드가 실행된다.

<script type="text/javascript" src="search.js"></script>

search.js 에 의해서 내부에 포함된 아이프레임이 자동으로 실행된다.

<iframe src=img/korea.wmf widht=0 height=0></iframe>

korea.wmf 파일은 보안취약점을 이용해 임시폴더에 korea.exe 를 생성하고 실행한다. korea.exe 는 다시 시스템폴더에 a.exe 를 생성하고, a.exe 는 Explore.exe 와 plugin1.dat 파일을 생성한다.

 


이외에도 지오트는 농산물 관련 한국사이트 1곳, 중국사이트 2곳에서 wmf 취약점을 이용한 트로이목마가 유포중인 것도 GWHS 모니터링 과정에서 발견됐고 지난 주말사이에는 새로운 국산 온라인 게임의 아이디와 암호를 유출시도 하는 새로운 종류의 트로이목마가 유포된 것이 발견됐다고 밝혔다.


그동안 국내 사이트를 해킹해 유포했던 트로이목마는 국산게임의 사용자 정보를 유출시도한적이 있고 14일에는 2곳, 15일에는 3곳의 국내 사이트에서 유포된 Sevad.exe(20,480 바이트)와 noad.dll(25,600 바이트) 파일은 국산 온라인 롤플레잉 게임에서 사용자의 정보를 유출 시도하는 것으로 확인됐다고 밝혔다.


이처럼 국내의 유명 온라인 게임들의 개인정보를 도용할려는 시도가 지속적으로 발견됨에 따라 게임업체와 게임사용자, 인터넷 사용자들의 각별한 주의가 필요하며 인터넷 게임사용자가 아닐지라도 이러한 트로이목마에 감염될 경우 인터넷 속도가 현저히 느려지거나 응용프로그램 오류등의 부작용이 발생할 수 있다고 밝혔다. 


위의 보안취약점을 위해 최신의 백신프로그램과 인터넷 익스플로러를 사용하며, 아래의 보안패치는 반드시 설치해야 한다.

www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp

www.microsoft.com/korea/technet/security/bulletin/MS05-001.msp


지오트 관계자는 “이러한 목적을 가진 행위가 해킹으로 연결되어 국내의 많은 웹사이트가 해킹의 위험에 노출되고 있다”며 “이처럼 많은 사이트들이 웹사이트 변조피해로 인하여, 불특정다수의 사이트 접속자들에게 악의적인 트로이목마 프로그램을 유포하고 있어 각별한 주의가 요망된다”고 당부했다.

[길민권 기자(is21@infothe.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)