본문 바로가기

벌새::Analysis

티스토리(Tistory) 유입경로를 통한 악성코드 유포 (1)

반응형

최근 티스토리의 유입경로 로그를 보시면 수상한 해외 블로그 또는 웹사이트에서 접속한 흔적을 심심찮게 확인할 수 있습니다.

이는 로봇을 통한 특정 검색어를 통해 자동으로 검색되어져서 접속을 하는 것으로 보입니다.

nccyvjqe.tigblog.org
bfdovkay.tigblog.org


특히 접속 주소가 위와 같이 수시로 변경되면서 접근하는 것을 확인할 수 있습니다.

이러한 주소에 접속을 통해 어떤 활동을 하는지 살펴보겠습니다.


해당 주소는 특정 블로그로 연결이 되며 해외 유명 연예인의 음란 비디오를 다운로드 할 수 있는 것처럼 위장하여 악성코드가 포함된 파일을 다운로드하게 하고 있습니다.


실제 파일을 다운로드하기 위해 클릭을 할 경우 특정 웹사이트로 연결되어 최근 Zlob Family를 사용자 컴퓨터에 다운로드 시킵니다.

Antivirus Version Last Update Result
AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.29 DR/Zlob.Gen
Authentium 5.1.0.4 2008.08.30 -
Avast 4.8.1195.0 2008.08.29 Win32:Zlob-CGB
AVG 8.0.0.161 2008.08.29 -
BitDefender 7.2 2008.08.30 -
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.08.30 Trojan.Dropper-2529
DrWeb 4.44.0.09170 2008.08.29 -
eSafe 7.0.17.0 2008.08.28 -
eTrust-Vet 31.6.6057 2008.08.29 -
Ewido 4.0 2008.08.29 -
F-Prot 4.4.4.56 2008.08.29 -
F-Secure 7.60.13501.0 2008.08.30 -
Fortinet 3.14.0.0 2008.08.30 -
GData 19 2008.08.30 Trojan-Downloader.Win32.Zlob.xhm
Ikarus T3.1.1.34.0 2008.08.30 -
K7AntiVirus 7.10.432 2008.08.29 -
Kaspersky 7.0.0.125 2008.08.30 Trojan-Downloader.Win32.Zlob.xhm
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 TrojanDownloader:Win32/Zlob.gen!BR
NOD32v2 3401 2008.08.30 -
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.29 -
PCTools 4.4.2.0 2008.08.29 -
Prevx1 V2 2008.08.30 Malware Dropper
Rising 20.59.50.00 2008.08.30 -
Sophos 4.33.0 2008.08.30 -
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.08.30 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.08.29 -
VBA32 3.12.8.4 2008.08.29 suspected of Downloader.Zlob.3 (paranoid heuristics)
ViRobot 2008.8.29.1355 2008.08.29 -
VirusBuster 4.5.11.0 2008.08.29 -
Webwasher-Gateway 6.6.2 2008.08.29 Trojan.Dropper.Zlob.Gen
Additional information
File size: 78785 bytes
MD5...: 9a3e13c7a35aa8097d76ac55db4b624b
SHA1..: 3fd59c18ab221a1ce62e1983dffa2b1396d320d6


해당 악성코드는 설치시 위와 같이 온라인 서비스 툴로 위장하여 별 의심없이 설치될 수 있습니다.

설치된 악성코드는 특정 서버와의 연결을 통해 추가적으로 악의적 프로그램을 다운로드할 수 있습니다.

추가적으로 해당 창을 닫을 경우 해외에서 유명한 악성코드 유포 웹사이트로 알려진 PornTube(YouTube의 아류작)로 연결하고 있습니다.


해당 사이트 역시 마치 동영상을 볼 수 있는 것처럼 꾸며 두었지만 해당 영상을 클릭하면 특정 코덱이나 Flash Player 등을 설치해야 한다는 방식으로 사용자의 컴퓨터를 감염시킬 설치 파일을 다운로드 시킵니다.

실제로 국내에서도 특정 동영상 서비스를 받기 위해서는 해당 업체에서 제공되는 프로그램을 설치해야 하는 경우가 있듯이 큰 부담없이 호기심에 설치하는 일이 없도록 하시기 바랍니다.
728x90
반응형
  • CherryLove™ 2008.08.30 20:41 댓글주소 수정/삭제 댓글쓰기

    로그를 남겨서 저렇게 감염시킬수도 있군요..

    • 요즘 눈에 부쩍 뜹니다. 관리가 안되는 사이트의 게시판은 저런 류의 해외 악성코드 유포 링크로 도배되지 않을까 염려됩니다.

  • 익명 2008.08.31 03:06 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

    • 지금 게임동아 사이트는 정상인 것 같습니다.

      해당 사이트는 과거에도 수시로 해킹당하는 사이트로 알고 있기에 이용시 주의하시기 바랍니다.

  • 안녕하세요.
    저도, 로그를 보면서 저게 뭔가?했었는데
    님의 상세한 설명으로 자세히 알게되었습니다.
    고맙습니다.
    행복하세요.

  • 저도 몇일전부터 계속 로그가 남던데
    티스토리 측에서는 저런건 못막을려나....

  • 아... 저 로그가 저런거였군요
    저는 어차피 맥에 파이어폭스인지라 설치자체를 시도 안한답니다. *^^*

  • 알 수 없는 사용자 2008.08.31 17:52 댓글주소 수정/삭제 댓글쓰기

    저도 요새 이상한 로그들을 계속 보고 있었는데, 이제 좀 이해가 가네요. vox.com, tigblog.org, podbean.com 이렇게 세 군데에서의 유입이 지속적이네요.

    • 저도 그렇습니다.

      아마 티스토리의 구멍이 보이면 덧글에 도배를 할 위험성이 존재합니다.

      지금은 티스토리에서 차단하기에 접속된 되고 덧글이나 트랙백에 자동으로 입력되지는 않는 것 같습니다.

  • 악성코드까지 유포하는 군요. 티스토리에서 조치를 강구하고 있다고 하니깐 좀 기다려 봐야겠네요.

  • 맞아요.. 저도 무심코 눌렀다가 식겁했습니다..

  • 알 수 없는 사용자 2008.09.06 21:59 댓글주소 수정/삭제 댓글쓰기

    요즘 유난히 로그에서 많이 보여서 검색해봤더니 이렇군요.
    안그래도 어떤 곳인가 눌러봤다가 정말 깜짝 놀랐고, 한편으로는 기분이 매우 더러워지더라구요.
    좋은 정보 잘 보고 갑니다.

  • 'tigblog'라는 데서 자꾸 접속하기에 가 봤더니 성인 사이트;;
    뭐하는 덴가 검색해 봤더니 이런 거였군요.. 헐..
    좋은 정보 고맙습니다.

  • 저도 요즘 tigblog 때문에 고민했는데..역시나 였군요
    잘보고 갑니다.. ^^

  • 익명 2008.09.18 01:34 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

    • 보통은 유명 보안제품을 이용하시는 것이 결과적으로 좋습니다.

      이유는 최근의 경우에는 저런 악성코드가 루트킷을 내장하고 있어서 파일을 수동으로 찾지 못하게 하고 있습니다. 그러므로 백신 프로그램의 힘을 빌려야 하거나, 아주 전문적인 기술을 가지고 있어야 합니다.

      세계적으로 유명한 보안제품이나 국내 유명 보안제품을 이용하여 치료하시는 것을 추천해 드립니다.

  • 익명 2008.09.20 23:25 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

    • 요즘은 하나의 악성코드에 감염되면 돈을 벌기 위해 저런 허위 제품을 추가로 설치해서 사용자 컴퓨터를 사용하지 못할 정도로 망치는 경우가 많습니다.

      말씀하시는 악성코드가 정확하게 어떤 것인지는 모르겠지만 최근 안철수연구소에서 저런 류의 허위 제품을 치료할 수 있는 전용 치료 프로그램을 무료로 공개했습니다.

      http://kr.ahnlab.com/dwVaccineView.ahn?num=75&cPage=1 에 접속해서 전용백신을 다운로드하여 사용해 보시기 바랍니다.

      해당 해외 허위 제품의 종류가 올해에만 200여 종류가 넘는 등 변종이 많아서 딱히 제가 말할 수 있는 부분은 없는 것 같습니다. 각 변종마다 워낙 기능이 달라서..

  • 익명 2017.03.28 23:28 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

    • 유입 경로에 표시된 사이트 접속 과정에서 자동으로 악성코드 감염 또는 파일 다운로드를 유도할 수도 있습니다.

      그러므로 수상한 사이트는 안전 장치없이 함부로 접속하지 않는 것이 좋습니다.

      그리고 대부분 스팸성으로 홍보 목적으로 뿌리는 듯 합니다.