국내 "대덕연구개발특구" 홈 페이지에 등록된 문서 뷰어 프로그램이 Win32.Parite.B 바이러스에 감염된 상태로 1년 이상 유지되고 있는 것으로 추정되고 있습니다.
출처 : 대덕연구개발특구 홈 페이지
해당 웹 사이트의 좌측 하단에는 문서 뷰어 프로그램(MS Office Word Viewer, MS Office Excel Viewer, MS Office PowerPoint Viewer, Adobe Reader, 한컴오피스 한글(HWP) 뷰어) 5종에 대하여 다운로드 서비스를 제공하고 있습니다.
하지만 Internet Explorer 9 버전을 이용하여 파일 다운로드를 시도할 경우 SmartScreen 필터 기능을 통해 차단이 되는 것을 확인할 수 있습니다.
어떤 문제로 인하여 차단을 하는지 확인을 해보면 다운로드된 뷰어 프로그램 파일에 대하여 알약(ALYac) 보안 제품에서 Win32.Parite.B 진단명으로 진단되는 것을 확인할 수 있습니다.(※ 실제 다운로드된 MS Office PowerPoint Viewer 설치 파일은 깨진 상태로 추정됩니다.)
해당 뷰어 설치 파일의 속성을 살펴보면 2011년 1월 20일경에 서버에 등록된 것으로 추정되며 파일 모두 디지털 서명이 없는 것이 특징입니다.
실제 정상적인 Adobe Reader 8.0 설치 파일의 속성을 확인해보면 디지털 서명란이 존재한다는 점을 고려해보면, 현재 대덕연구개발특구 홈 페이지에 등록된 뷰어 프로그램 모두는 변조된 상태로 등록되어 있는 상태입니다.
Win32.Parite.B 바이러스는 감염시 사용자 PC에 존재하는 PE 포맷(.exe, .scr) 확장자 파일을 감염시키는 것으로 알려져 있으며, 대부분의 백신 프로그램에서 진단 및 치료를 제공하고 있으므로 실제 감염으로는 연결되지는 않았을 것으로 보입니다.
하지만 현재 활발하게 공지 등의 게시물이 등록되고 있는 웹 사이트(or.kr)에 대한 관리가 제대로 되지 않고 있다는 점에서 빠른 수정이 필요합니다.
마지막으로 홈 페이지 관리를 제대로 못할 바에는 파일 다운로드 서비스를 하지 말고 뷰어 프로그램 제작사 링크를 제공하는 것이 좋은 정책이 아닐까 싶습니다.
오래전부터 방치된 곳인가 봅니다...
저런 곳이 한둘이 아닐텐데.... ㅠ.ㅠ
역시 링크가 답일 것 같습니다.
4월 10일 현재 MS오피스 3종과 어도비 리더는 제작사 홈페이지로 링크가 변경되었으나 한글 뷰어의 경우 자체배포하고 있습니다. 그리고 아직도 스마트스크린에 걸리고 있구요.
뭔가 수정을 하기는 하려나 보군요.^^ 정보 감사합니다.