안녕하세요.

최근 정상적인 웹사이트를 해킹하여 iframe을 삽입하여 웹사이트 접속시 악성코드를 유포하는 수법이 점점 늘고 있는 추세입니다.

얼마 전 언론에도 나왔듯이 국내의 경우 고위 공무원의 이메일 해킹 사건이나, 이전부터 있어왔던 정부관련 기관 웹 사이트 해킹이 심심찮게 일어나고 있는 것으로 보입니다.

해커의 천국(?) 중 하나인 중국에서도 중국 정부 기관을 노린 해킹이 있는 것으로 보입니다.

사용자 삽입 이미지

해당 웹사이트는 중국의 정부 기관 웹사이트로 최근부터 해킹이 이루어져서 계속적인 변종을 유포하고 있는 것으로 보입니다.

해당 악성코드는 최근 취약점이 공개된 리얼 플레이어와 같은 취약점을 이용한 악성코드로 보입니다.

일반적으로 감염 원리는 웹사이트 접속시 해당 취약점을 노린 악성코드의 실행이 가능한 사용자 컴퓨터에 다운로드 되어 실행되는 구조입니다.

[악성코드 소스 보기]

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지


해당 악성코드 유포지의 경우 신뢰할 수 있는 정부기관 사이트로 이제는 그 어느 사이트도 안전할 수 없다는 것을 보여주는 단적인 예라고 할 수 있습니다.

특히 해당 사이트의 경우 해킹이 된지 일정 시간이 지났는데도 해결이 안되는 것을 보면 사전 예방도 중요하지만 사후처리도 보안에서 얼마나 중요한지 잘 알 수 있습니다.

해당 사이트를 감염시키는 악성코드의 진단 상태를 살펴보겠습니다.

Antivirus Version Last Update Result
AhnLab-V3 2008.4.1.2 2008.04.02 -
AntiVir 7.6.0.80 2008.04.02 -
Authentium 4.93.8 2008.04.03 -
Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.02 JS/Downloader.Agent
BitDefender 7.2 2008.04.03 -
CAT-QuickHeal 9.50 2008.04.02 -
ClamAV 0.92.1 2008.04.02 -
DrWeb 4.44.0.09170 2008.04.02 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5666 2008.04.02 -
Ewido 4.0 2008.04.02 -
F-Prot 4.4.2.54 2008.04.02 -
F-Secure 6.70.13260.0 2008.04.03 -
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.02 -
Ikarus T3.1.1.20 2008.04.03 -
Kaspersky 7.0.0.125 2008.04.03 -
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 -
NOD32v2 2996 2008.04.03 -
Norman 5.80.02 2008.04.02 -
Panda 9.0.0.4 2008.04.02 -
Prevx1 V2 2008.04.03 -
Rising 20.38.22.00 2008.04.02 -
Sophos 4.28.0 2008.04.03 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.02 -
Webwasher-Gateway 6.6.2 2008.04.02 -
Additional information
File size: 13350 bytes
MD5: aa4ea71dfb6f41590d5d4d75f9fce928
SHA1: f2c4288fb22da904cbdae57dae22d80c3d56bf0f

Antivirus Version Last Update Result
AhnLab-V3 2008.4.1.2 2008.04.02 -
AntiVir 7.6.0.80 2008.04.02 HEUR/Exploit.HTML
Authentium 4.93.8 2008.04.03 -
Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.02 -
BitDefender 7.2 2008.04.03 -
CAT-QuickHeal 9.50 2008.04.02 -
ClamAV 0.92.1 2008.04.02 -
DrWeb 4.44.0.09170 2008.04.02 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5666 2008.04.02 -
Ewido 4.0 2008.04.02 -
F-Prot 4.4.2.54 2008.04.02 -
F-Secure 6.70.13260.0 2008.04.03 -
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.02 -
Ikarus T3.1.1.20 2008.04.03 -
Kaspersky 7.0.0.125 2008.04.03 -
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 Exploit:Win32/Senglot.N
NOD32v2 2996 2008.04.03 -
Norman 5.80.02 2008.04.02 -
Panda 9.0.0.4 2008.04.02 -
Prevx1 V2 2008.04.03 -
Rising 20.38.22.00 2008.04.02 -
Sophos 4.28.0 2008.04.03 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.02 -
Webwasher-Gateway 6.6.2 2008.04.02 Heuristic.Exploit.HTML
Additional information
File size: 3551 bytes
MD5: bb6e316f4657656998eb5029c514e527
SHA1: ea648811a5315d6397067523817f1a747d839fd5

Antivirus Version Last Update Result
AhnLab-V3 2008.4.1.2 2008.04.02 -
AntiVir 7.6.0.80 2008.04.02 HTML/Infected.WebPage.Gen
Authentium 4.93.8 2008.04.03 -
Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.02 -
BitDefender 7.2 2008.04.03 -
CAT-QuickHeal 9.50 2008.04.02 -
ClamAV 0.92.1 2008.04.02 HTML.Iframe-2
DrWeb 4.44.0.09170 2008.04.02 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5666 2008.04.02 -
Ewido 4.0 2008.04.02 -
F-Prot 4.4.2.54 2008.04.02 -
F-Secure 6.70.13260.0 2008.04.03 -
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.02 -
Ikarus T3.1.1.20 2008.04.03 -
Kaspersky 7.0.0.125 2008.04.03 -
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 -
NOD32v2 2996 2008.04.03 -
Norman 5.80.02 2008.04.02 -
Panda 9.0.0.4 2008.04.02 -
Prevx1 V2 2008.04.03 -
Rising 20.38.22.00 2008.04.02 -
Sophos 4.28.0 2008.04.03 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.02 -
Webwasher-Gateway 6.6.2 2008.04.02 Script.Infected.WebPage.Gen
Additional information
File size: 8944 bytes
MD5: 84a22600e2a7c9153ec9d8e20a5a80dc
SHA1: e8b7ac96aab989bc9870c87d025f6d74b8f5543c

Antivirus Version Last Update Result
AhnLab-V3 2008.4.1.2 2008.04.02 -
AntiVir 7.6.0.80 2008.04.02 HTML/Rce.Gen
Authentium 4.93.8 2008.04.03 VBS/Psyme.FF

Avast 4.7.1098.0 2008.04.02 -
AVG 7.5.0.516 2008.04.02 JS/Downloader.Agent
BitDefender 7.2 2008.04.03 Trojan.Downloader.JS.Agent.OW
CAT-QuickHeal 9.50 2008.04.02 -
ClamAV 0.92.1 2008.04.02 -
DrWeb 4.44.0.09170 2008.04.02 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5666 2008.04.02 -
Ewido 4.0 2008.04.02 Downloader.Agent.ky
F-Prot 4.4.2.54 2008.04.02 VBS/Psyme.FF

F-Secure 6.70.13260.0 2008.04.03 -
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.02 VBS/Agent.EB!tr.dldr
Ikarus T3.1.1.20 2008.04.03 -
Kaspersky 7.0.0.125 2008.04.03 -
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 TrojanDownloader:VBS/Psyme.gen!D
NOD32v2 2996 2008.04.03 -
Norman 5.80.02 2008.04.02 -
Panda 9.0.0.4 2008.04.02 -
Prevx1 V2 2008.04.03 -
Rising 20.38.22.00 2008.04.02 -
Sophos 4.28.0 2008.04.03 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.02 JS.Psyme.FS
Webwasher-Gateway 6.6.2 2008.04.02 Script.Rce.Gen

Additional information
File size: 2311 bytes
MD5: 4fc033b4fc8554cdda28efb1ac9097da
SHA1: e67229e89854f079de5f57bfa7a17021a6e36ce2

Antivirus Version Last Update Result
AhnLab-V3 2008.4.1.2 2008.04.02 -
AntiVir 7.6.0.80 2008.04.02 RKIT/HideProcess.B
Authentium 4.93.8 2008.04.03 -
Avast 4.7.1098.0 2008.04.02 Win32:Delf-IOR
AVG 7.5.0.516 2008.04.02 Win32/PolyCrypt
BitDefender 7.2 2008.04.03 Generic.Malware.P!BdldPk!.ED63DD4E
CAT-QuickHeal 9.50 2008.04.02 TrojanDownloader.Small.suu
ClamAV 0.92.1 2008.04.02 Trojan.Killav-164

DrWeb 4.44.0.09170 2008.04.02 DLOADER.Trojan
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5666 2008.04.02 -
Ewido 4.0 2008.04.02 -
F-Prot 4.4.2.54 2008.04.02 W32/Heuristic-114!Eldorado
F-Secure 6.70.13260.0 2008.04.03 Trojan-Downloader.Win32.Small.suu
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.02 -
Ikarus T3.1.1.20 2008.04.03 Trojan-Downloader.Win32.Delf.epw
Kaspersky 7.0.0.125 2008.04.03 Trojan-Downloader.Win32.Small.suu
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 TrojanDownloader:Win32/Small.AAAV
NOD32v2 2996 2008.04.03 Win32/TrojanDownloader.Agent.NWE
Norman 5.80.02 2008.04.02 W32/DLoader.GJMU

Panda 9.0.0.4 2008.04.02 Suspicious file
Prevx1 V2 2008.04.03 -
Rising 20.38.22.00 2008.04.02 Trojan.DL.Win32.Mnless.zbh
Sophos 4.28.0 2008.04.03 -
Sunbelt 3.0.978.0 2008.03.18 VIPRE.Suspicious
Symantec 10 2008.04.03 -
TheHacker 6.2.92.263 2008.04.03 -
VBA32 3.12.6.3 2008.03.25 Trojan-Downloader.Win32.Small.suu
VirusBuster 4.3.26:9 2008.04.02 -
Webwasher-Gateway 6.6.2 2008.04.02 Rootkit.HideProcess.B
Additional information
File size: 39695 bytes
MD5: 1ff8251aafd1ec0a7bd3722dc19c9ce0
SHA1: 8264de8690a5743d326cd0a6dcaf39c0354a5635
블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..