유명게임방송 사이트 해킹, 신종 트로이목마 유포
이 게임방송 사이트에 접속시 인터넷 익스플로러의 취약점을 이용해 접속자의 PC에 트로이목마가 설치되는데, 윈도우 시스템폴더에 _Kerne1.exe 가 숨김속성으로 몰래 설치가 된다. 이 사이트는 지난 게임 방송(VOD)을 일부 무료로 제공하고 있어 많은 사람들이 접속하고 있어 주의가 요망된다.
출판사사이트는 추가로 해킹된 흔적이 발견되었는데, 해당 사이트가 접속이 되지 않아 추가적인 트로이목마는 설치되지 않는 상황이다.
지오트는 자사의 백신프로그램인 유니큐어를 이용하는 이용자가 이들 사이트에 접속했다가 트로이목마가 유포되고 있는 것을 진단하고서 지오트 측에 신고했다고 밝혔다. 지오트는 긴급히 해당사이트 관리자와 한국정보보호진흥원(KISA), 일부 게임관련 사이트 보안전문가에게 해당 정보를 제공한 상태이다.
지오트 바이러스분석실은 게임방송 사이트를 통해 유포되는 트로이목마가 신종으로 확인되어 긴급 업데이트를 진행 중에 있으며, 진단/치료 기능을 포함한 추가 업데이트를 완료하면 새로 공지를 할 예정이다.
이번에 발견된 신종 트로이목마는 중복실행 방지를 위한 Semaphore 로 유명 러시아 백신업체명인 Kaspersky 를 사용하는 것이 특이하다. 설치되는 해당파일들은 델파이로 제작되어 있으며, Upack 과 UPX 등으로 실행압축되어 있다. DelphiDll.dll 파일은 특정 국내 온라임 게임사용자의 정보를 후킹하여 외부로 유출할려고 시도하는 게임정보 유출 트로이목마이다.
감염시 증상 :
접속자의 PC 윈도우 시스템폴더에 _Kerne1.exe 가 숨김속성으로 몰래 설치가 된다.
대응법 : 해당 사이트에 대한 접속을 자제하고, 지오트에서 트로이목마를 치료할 수 있는 추가 업데이트가 이뤄지면 지오트 홈페이지에서 유니큐어를 다운로드받아 치료하면 된다.
위험도 : 주의
형태 : 트로이목마
바이러스 이름 : Trojan-Downloader.JS.Psyme.as
웹사이트: http://www.geot.com
연락처
지오트 심효정과장 02-3445-1083 017-747-6069
이지스커뮤니케이션즈 김세희 대리 02-3443-8870 010-7360-3235
