반응형
국내 온라인 게임 계정 탈취 목적으로 중국쪽에서 이루어지고 있는 악성코드 유포 방식은 대부분 정상적인 인터넷 사이트를 변조하여 해당 사이트에 접속하는 사용자 시스템 중 특정 보안 취약점이 존재할 경우 자동으로 감염시키는 방식입니다.
이를 위하여 해당 변조 사이트에 삽입된 악성 스크립트를 통해 최종적으로 다운로드되는 트로이목마(Trojan) 파일을 등록해 두는 사이트가 얼마나 많은 다운로드 트래픽을 유발하는지 간접적으로 체감할 수 있는 사례를 발견할 수 있습니다.

현재 악성 스크립트를 통해 다운로드되는 help.exe(SHA1 : f9baaa26ec7b081e6ae613c2d8a2dea948bb48a2) 파일은 103,964 Bytes 크기로 국내의 컴퓨터 수리 관련 웹 사이트에 등록되어 있습니다.
참고로 해당 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.OnlineGameHack (VirusTotal : 27/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
해당 파일은 외부의 변조된 인터넷 사이트에 접속한 사용자들이 PC 감염이 발생할 경우 해당 컴퓨터 수리 사이트에 등록된 help.exe 파일을 다운로드하도록 동작하는데 현재 해당 파일은 다음과 같은 이유로 다운로드가 되지 않고 있습니다.

즉, 해당 사이트에서 허용하는 1일 트래픽 수치를 초과하여 더 이상 다운로드가 불가능한데, 해당 사이트가 인기가 높아서 이런 문제가 발생하는 것이 아니라 몰래 등록된 help.exe 파일이 외부 트래픽을 유발하여 이와 같은 문제가 발생하고 있는 것으로 추정됩니다.
이처럼 현재 시간대에 help.exe 파일을 다운로드하기 위해 변조된 사이트에 방문한 사용자는 트래픽 초과로 인해 실제 악성 파일이 다운로드되지 않는 행운을 있습니다.
이를 위하여 해당 변조 사이트에 삽입된 악성 스크립트를 통해 최종적으로 다운로드되는 트로이목마(Trojan) 파일을 등록해 두는 사이트가 얼마나 많은 다운로드 트래픽을 유발하는지 간접적으로 체감할 수 있는 사례를 발견할 수 있습니다.
현재 악성 스크립트를 통해 다운로드되는 help.exe(SHA1 : f9baaa26ec7b081e6ae613c2d8a2dea948bb48a2) 파일은 103,964 Bytes 크기로 국내의 컴퓨터 수리 관련 웹 사이트에 등록되어 있습니다.
참고로 해당 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.OnlineGameHack (VirusTotal : 27/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
해당 파일은 외부의 변조된 인터넷 사이트에 접속한 사용자들이 PC 감염이 발생할 경우 해당 컴퓨터 수리 사이트에 등록된 help.exe 파일을 다운로드하도록 동작하는데 현재 해당 파일은 다음과 같은 이유로 다운로드가 되지 않고 있습니다.
즉, 해당 사이트에서 허용하는 1일 트래픽 수치를 초과하여 더 이상 다운로드가 불가능한데, 해당 사이트가 인기가 높아서 이런 문제가 발생하는 것이 아니라 몰래 등록된 help.exe 파일이 외부 트래픽을 유발하여 이와 같은 문제가 발생하고 있는 것으로 추정됩니다.
이처럼 현재 시간대에 help.exe 파일을 다운로드하기 위해 변조된 사이트에 방문한 사용자는 트래픽 초과로 인해 실제 악성 파일이 다운로드되지 않는 행운을 있습니다.
728x90
반응형
끝판대장 트래픽이군!
오랜만에 웃고 갑니다^^
얼마나 다운로드가 심했으면 허용치를 넘어 버렸을까요?
우와.. 이런일도 있군요!!
신기하네요 +_=
저도 이런 경우는 처음 보는 것 같습니다.
유포자들은 파일 심을 때 트래픽도 감안해야 할 듯..ㅎㅎ
이런것 까지는 생각을 못 했나 보네요..
좋은 기능인데요.. ㅎㅎ
KISA 차단 저리가라죠.ㅎ
바이러스 유포자가 둥지를 잘 못 선택했군요... ㅎㅎㅎ
그런데 카페24의 경우 월 500원짜리 최소형의 경우 매일 400MB 또는 600MB 트래픽이 제공됩니다. 파일의 크기를 고려해보면, 피해자는 꽤 될 듯 합니다. 그리고 트래픽 차단 시점이 빨랐다면 그만큼 유포 속도가 빨랐다는 뜻도 될 것 같습니다.
말씀대로 아마 약정 트래픽 용량은 1기가급이 안될 것 같은데, 제가 확인한 시간이 밤 10시 정도라서 확실히는 모르지만 저 날 하루만 유포된게 아닐 것 같습니다.
이유는 파일이 바이러스토탈에 등록된지 2~3일 된 것 같더군요.