본문 바로가기

알툴즈 Tip/알약

Geno 바이러스 감염된 국내 사이트가 발견되었습니다! 사이트 관리자님들 보안에 주의하세요~! 알약에서는 Trojan.JS.PYV 로 탐지됩니다.

최근 미국과 일본에서 가장 큰 웹 관련 악성코드 위협으로 떠오른 Geno 악성코드가 국내 사이트 해킹을 통해 감염 전파를 시도한 사례가 발견되었습니다.

사용자 삽입 이미지

                관련 기사 :
'제노 바이러스' 감염 국내 사이트 발견 


Geno 악성코드라는 말은 일본의 PC 판매 사이트인 Geno의 웹사이트가 해킹을 당해
악성코드가 전파되면서, 언론에서는 관련 사건들을 Geno 바이러스로 통칭하여 이와 같이 알려졌습니다.

실제로는 Gumblar, Daenol, Gadjo, Kates, Geno 등 여러 이름들을 가지고 있습니다.

[감염 경로]

Adobe사의 아크로뱃 프로그램 및 플래시 프로그램의 취약점이 패치되지 않은 PC에서

위 바이러스에 감염된 숙주 사이트에 접속할 경우, Geno 악성코드에 감염됩니다.

일본에서는 주로 만화, 에니메이션, 게임 관련 사이트들이 Geno 악성코드를 유포하는 숙주 사이트가 되었고,
국내에서는 레크레이션 관련 사이트에서 최초 발견되었습니다.

감염된 사이트에 삽입된 악성코드 전파 스크립트는 다음과 같았습니다.  

사용자 삽입 이미지

[감염 증상 및 위험]

1) 감염된 PC에서 FTP 에 로그인하면, FTP 로그인 정보가 유출될 수 있습니다.
2) 일부 바이러스 백신 사이트 접근도 차단하고, 보안 프로그램의 실행까지 차단합니다.
3) 검색엔진 구글의 검색 결과를 특정 웹사이트로 강제로 연결(이런 걸 리다이렉트(redirect)라고 합니다. ) 시킵니다.


[치료 방법]

알약을 설치하여 최신DB로 업데이트한 후 [정밀검사]를 합니다.

현재 알약에서는 Geno 악성코드의 숙주 사이트들에 사용자가 접속하면,
알약의 실시간 감시에서 진단명 Trojan.JS.PYV으로 탐지하여 감염 스크립트 실행을 차단합니다.

이미 감염된 경우라도 진단명 Trojan.Dropper.Agent.UNR 혹은 Trojan.Daonol.D로 진단 및 치료가 가능합니다.


[예방 방법]

현재는 악성코드를 전파하는 상위 서버가 차단되어 악성코드를 다운로드 받지 않지만
상위 서버의 주소를 바꾸어 전파시킬 가능성이 매우 높습니다.

이와 유사하게 보안이 취약한 다른 국내 사이트에서도 웹 해킹을 통해 언제라도 숙주 사이트로 돌변할 수 있는 위험이 있습니다.

PC에 백신이 없다면 알약을 설치해 주세요.  백신은 필수!   

사용자 삽입 이미지
 

이후 다음과정을 확인해 주세요.

1) Adobe사의 아크로뱃 사용하시는 분들은 운영체제 버전과 아크로뱃 프로그램의 버전에 맞게 보안패치를 해 주시고, 최신 버전의 플래시 플레이어를 설치합니다.

[아크로뱃 보안취약점 안내 및 업데이트 : 영문 사이트]

[최신 플래시 플레이어 설치]

2) Windows 보안패치가 최근 내용까지 적용되었는지 확인하시고, 알약 DB 업데이트를 항상 최신으로 유지합니다.

[Windows Update 사이트 방문]  

3) 알약의 실시간 감시 기능을 항상 켜 둡니다.

4) 서버관리자들은 관리하는 웹사이트의 취약점을 항상 점검해야 합니다.

지금까지 최신 보안 뉴스를 신속하게 전해드리는 이스트소프트 알약이었습니다.

이와 관련하여 궁금한 점은 알약의 [신고하기]로 문의해 주시거나 고객센터로 문의 주시면 안내해 드리겠습니다.

www.alyac.co.kr