본문 바로가기

벌새::Security

대덕연구개발특구 홈 페이지에 등록된 바이러스 감염 뷰어 프로그램 주의 (2012.4.6)

반응형

국내 "대덕연구개발특구" 홈 페이지에 등록된 문서 뷰어 프로그램이 Win32.Parite.B 바이러스에 감염된 상태로 1년 이상 유지되고 있는 것으로 추정되고 있습니다.

출처 : 대덕연구개발특구 홈 페이지

해당 웹 사이트의 좌측 하단에는 문서 뷰어 프로그램(MS Office Word Viewer, MS Office Excel Viewer, MS Office PowerPoint Viewer, Adobe Reader, 한컴오피스 한글(HWP) 뷰어) 5종에 대하여 다운로드 서비스를 제공하고 있습니다.

하지만 Internet Explorer 9 버전을 이용하여 파일 다운로드를 시도할 경우 SmartScreen 필터 기능을 통해 차단이 되는 것을 확인할 수 있습니다.

어떤 문제로 인하여 차단을 하는지 확인을 해보면 다운로드된 뷰어 프로그램 파일에 대하여 알약(ALYac) 보안 제품에서 Win32.Parite.B 진단명으로 진단되는 것을 확인할 수 있습니다.(※ 실제 다운로드된 MS Office PowerPoint Viewer 설치 파일은 깨진 상태로 추정됩니다.)

해당 뷰어 설치 파일의 속성을 살펴보면 2011년 1월 20일경에 서버에 등록된 것으로 추정되며 파일 모두 디지털 서명이 없는 것이 특징입니다.

실제 정상적인 Adobe Reader 8.0 설치 파일의 속성을 확인해보면 디지털 서명란이 존재한다는 점을 고려해보면, 현재 대덕연구개발특구 홈 페이지에 등록된 뷰어 프로그램 모두는 변조된 상태로 등록되어 있는 상태입니다.


Win32.Parite.B 바이러스는 감염시 사용자 PC에 존재하는 PE 포맷(.exe, .scr) 확장자 파일을 감염시키는 것으로 알려져 있으며, 대부분의 백신 프로그램에서 진단 및 치료를 제공하고 있으므로 실제 감염으로는 연결되지는 않았을 것으로 보입니다.


하지만 현재 활발하게 공지 등의 게시물이 등록되고 있는 웹 사이트(or.kr)에 대한 관리가 제대로 되지 않고 있다는 점에서 빠른 수정이 필요합니다.


마지막으로 홈 페이지 관리를 제대로 못할 바에는 파일 다운로드 서비스를 하지 말고 뷰어 프로그램 제작사 링크를 제공하는 것이 좋은 정책이 아닐까 싶습니다.

반응형