제로보드 서비스 공격대상 바이러스 발견
바이러스와 악성코드등을 제거하는 닥터바이러스를 통해 보안서비스를 제공하는 에스엘커뮤니케이션( 대표이사 이신자 http://www.drvi.com ) 바이러스 패턴 분석연구소의 남민우 선임연구원은 이 바이러스는 자체확산 기능은 없는 것으로 확인 되었으나 검색엔진을 이용한 자동확산 공격방법과 익스플로잇 과 백도어 기능을 가지고 있어, 소스공개로 인한 새로운 변형도 우려되며 네트어크 웜 으로 발전될 가능성도 배제할수 없다고 밝혔다.
2005년 5월 5일부터 해당 코드가 여러 외국 사이트에 공개되었으며 제로보드는 PHP와 MySQL이 지원되는 서버에 설치하여 사용하는 국산 게시판이다.
코드내부에는 아래와 같은 문자열이 포함되어 있고, 제로보드의 취약점을 공격하는 익스플로잇과 검색엔진을 이용한 확산방법을 사용한다.
ZeroBoard -1day INE w0rm
확산에 사용되는 검색엔진은 네이트닷컴, 구글코리아, 야후코리아, 네이트닷컴, 라이코스, 알타비스타 코리아 등이다.
http://search.nate.com
http://www.google.co.kr
http://kr.search.yahoo.com
http://search.lycos.com
http://kr.altavista.com
제작자는 한국인으로 추정되며 검색엔진을 통해서 아래 형식의 제로보드 게시판을 검색하므로 아래와 같은 경로를 쓰지 않는것이 좋고, 최신버전을 항상 유지하는것이 좋다고 밝혔다.
"/zboard/zboard.php"
"/zb41/zboard.php"
"/bbs/zboard.php"
"/zb/zboard.php"
"/zb40/zboard.php"
"/board/zboard.php"
"zboard.php"
"zboard.ph"
에스엘커뮤니케이션 개요
바이러스 악성코드 Pc클리닉을 한방에 닥터바이러스
개발 서비스 업체 입니다.
웹사이트: http://ww.drvi.com
연락처
대표이사 이신자 02-568-6595~6598
-
2005년 7월 7일 19:31