중국 추정 해커, 액티브 엑스로 수법 바꿔 트로이목마 설치
바이러스 백신업체 지오트의 바이러스 분석실(GCERT)은 기존의 인터넷 익스플로러 취약점유포방식과 달리 액티브 엑스 방식을 새롭게 사용하여 사용자 컴퓨터에 국내 온라인 게임 사용자의 아이디와 암호를 유출시도하는 트로이 목마를 설치하는 새로운 수법의 유포방식이 나타났다고 밝혔다.
해킹된 두 곳의 국내 사이트들을 확인한 결과 해킹되어 업로드 된 wap.htm/c.htm 파일을 이용하는 것으로 나타났다. 이 파일을 통해서 플래쉬 8.0 프로그램으로 위장한 보안경고창이 나오게 되며, 사용자가 동의할 경우 윈도우 폴더에 트로이목마가 설치되게 된다.
사용자가 해킹된 사이트에 접속했을 때 마치 정상적인 플래쉬 관련 액티브 엑스 컨트롤로 위장하여 사용자가 직접 설치하도록 유도하고 있는 것이 변경된 해킹 수법의 특징이다. <예>버튼을 누르면 윈도우 폴더의 Downloaded Program Files 폴더에 설치가 되며, 감염이 되면 윈도우 폴더에 explore.exe(52,736 바이트) 파일이 숨김속성으로 생성된다. 이 트로이목마는 국내 온라인 게임사용자의 아이디와 암호 등을 유출시키고자 시도하는 악성프로그램이다.
지오트는 긴급히 해당 사이트 보안 담당자에게 메일로 내용을 전달했으며, 한국정보보호진흥원(KISA) 인터넷침해사고대응지원센터 해킹대응팀에게도 제공한 상태이다.
지오트 바이러스 분석실(GCERT)의 문종현 실장은 “시간이 지날수록 해킹 방법이 지능적이고 기발하게 변화되고 있다”며 “잘 모르는 사이트를 방문할때나 자주 방문하는 사이트더라도 팝업창 등은 자세히 살펴보고, 백신의 실시간 감시 기능을 항상 켜놓아야 한다”고 말했다.
웹사이트: http://www.geot.com
연락처
지오트 마케팅팀 홍보과장 심효정 02-3445-1083 017-747-6069
