국내 대형 포털사이트 해킹, 변종 트로이목마 유포
이 사이트의 뉴스정보란에 접속을 하게 되면 사용자의 임시 인터넷 폴더(Temporary Internet Files)와 액티브 액스 폴더(Downloaded Program Files), System 폴더등에 svchost.exe, rundll32.exe 파일을 설치하고 인터넷 익스플로러(IEXPLORE.EXE)에 삽입(Injection)되어 실행되고, 시스템폴더에는 hgdll.dll 파일을 생성한다. 유포되는 트로이목마에 감염되면 인터넷 속도가 급격히 느려지며, 국내 특정게임 사용자의 개인정보(아이디, 암호)등이 외부로 유출될 수 있다고 주의를 당부했다.
이 포탈사이트에서 발견된 트로이목마는 오늘 오전 확인된 모 경매사이트에서 발견된 트로이목마와 같은 것으로 확인돼 많은 사이트가 해킹되어 있을 확률이 높으므로 네티즌들의 주의가 요망된다.
이번 포털사이트의 뉴스페이지에서 유포되는 트로이목마는 접속 시 ShellView.htm에 포함되어 있는 newsscript.js 스크립트가 실행되고, 다시 링크되어 있는 menu.htm 파일에 숨겨져 있는 iframe이 작동하여 링크되어 있는 사이트에서 설치가 된다.
지오트는 긴급히 해당 정보를 한국정보보호진흥원(KISA) 해킹연구원에게 제공, 긴급조치를 부탁한 상태이다.
바이러스분석실(GCERT)의 문종현 실장은 “유명 포털사이트는 접속자가 많아 사이트 보안에 특히 신경써야 한다” 며 “포털사이트 담당자나 개인 유저도 늘 바이러스의 피해를 막기 위해서는 최신 백신프로그램 실시간 감시를 해 두어야 한다”고 말했다.
◆ 감염시 증상
특정게임의 아이디와 패스워드가 노출 될 수 있으며 컴퓨터가 느려지고 트래픽이 상승한다
◆ 대응법
MS윈도우와 최신 익스플로어의 보안패치를 다운받아 설치를 해야 트로이목마의 설치를 예방할 수 있다. 해당 사이트에 대한 접속을 자제하고, 지오트에서 트로이목마를 치료할 수 있는 추가 업데이트가 이뤄지면 지오트 홈페이지에서 유니큐어를 다운로드받아 치료하면 된다. (http://www.geot.com)
◆ 추가정보
http://www.geot.com/customer/customer_notice_view.php?db=notice&no=242&page=
웹사이트: http://www.geot.com
연락처
이지스커뮤니케이션즈 김세희 대리 3443-8870
