본문 바로가기

벌새::Security

Gumblar (aka Geno) 악성코드 주의

최근 4월경부터 일본 등 해외 웹 사이트를 중심으로 중국 도메인을 숙주로 하는 악성코드가 유포되고 있다는 소식입니다.

특히 전 세계적를 대상으로 확산 속도가 상당히 빠르며, 최근 국내 웹 사이트에서도 감염된 사이트가 다수 발견되었다고 하므로 인터넷을 이용하시는 분들은 주의하시기 바랍니다.


해외 보안업체에서 제공하는 Gumblar 악성코드에 대한 설명을 참고로 나름대로 도식화해 보았습니다.

기본적으로 감염이 예상되는 최종적인 사용자는 PDF 문서를 읽을 수 있는 Adobe Reader 제품과 Adobe Flash Player의 보안 취약점 패치를 하지 않은 사용자를 대상으로 하고 있습니다.

이들 사용자가 공격자에 의해 악성코드를 유포하도록 변조된 사이트를 방문하게 되면 악성코드가 사용자 컴퓨터에 감염이 됩니다. 이렇게 감염된 컴퓨터의 비밀번호 등을 탈취하여 공격자의 FTP 서버에 전달을 하고 이들 바탕으로 공격자는 암호화된 JavaScript를 내포한 악성코드 파일 다수를 다시 감염된 컴퓨터에 설치를 시도합니다.

이렇게 계속적으로 감염된 사용자의 컴퓨터에서 각종 정보를 추가적으로 탈취를 하면서 감염을 유지시키기 위해 사용자가 Google 웹 검색을 이용할 경우 검색 결과를 변조하여 감염된 웹 사이트가 포함된 결과를 보여주고 해당 사이트로 방문하게 유도하여 계속적인 감염이 이루어지게 만드는 악순환을 겪을 수 있습니다.

이런 공격은 기본적으로 사용하시는 OS 및 각종 응용 프로그램을 최신 버전으로 업데이트를 하시는 것이 해결책이며 신뢰할 수 있는 보안제품을 이용하여 실시간 감시를 활성화하고 항상 최신 DB 업데이트를 받으시길 바랍니다.

최근 Adobe 제품군의 보안 취약점이 계속적으로 노출되고 있으며 이를 이용한 악성코드가 출현한다고 알려져 있으므로 주기적으로 제품의 최신 버전 정보를 참고하는 습관이 필요합니다.