태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

감염대처법2009.05.25 09:21


비트디펜더(http://www.bitdefender.com) 엔진/패턴을 사용하는 제품 사용자들에 의해서 Trojan.IFrame.GZ 라는 바이러스가 갑자기 많이 나온다는 문의가 증가하고 있어 정리해 본다.

무료 백신 제품 등 간접적으로 비트디펜더 패턴 사용자들이 그 만큼 국내에 많이 있다는 얘기이기도 하겠다.

이 상황은 국내 하나포스 닷컴 도메인으로 운영되는 특정 자료실 사이트에 존재하는 악의적인 아이프레임을 진단하고 있기 때문이다.

사용자 삽입 이미지

해당 사이트에 접속하게 될 경우 다음의 스크립트가 연결된다.

http://qbic.hanafos.com/js/openwin.js

openwin.js 파일은 일부 Anti-Virus 제품 등에서 다음과 같이 진단된다.

BitDefender 7.2 2009.05.24 Trojan.IFrame.GZ

따라서 해당 웹 페이지를 접속할 때 마다 비트디펜더 제품/패턴이 사용되는 제품의 실시간 감시 기능이 활성화 되어 있을 경우 지속적으로 악성코드 진단 화면이 출력되게 된다.

그렇다면 해당 스크립트는 악성인가?

결론부터 말하자면, 악성은 맞지만 현 조건과 시점상에서 정상적으로 악의적인 기능이 수행되지는 못하는 형태이다. 따라서 악성코드(바이러스/트로이목마/웜 등)에 감염된 것은 아니다.

더불어 Trojan.IFrame.GZ 라는 형태는 진단명에도 포함되어 있지만 "(컴퓨터) 바이러스"라는 용어보다는 스크립트 형태의 "트로이목마"로 사용하는 것이 정확하다고 하겠다.

사용자에 따라 "(컴퓨터) 바이러스"를 일반적으로 악성코드의 총칭으로 사용하고 있긴 하지만 실질적인 용어 정의상 다르게 표현되고 있기 때문이다. 물론 업체 진단명 명명 정책에 따라 일부 상이한 경우도 존재한다.


이외에도 사용자에게 유해한 형태의 프로그램이 매우 다양하게 존재하는데, 이는 각 업체의 분류 정책에 따라 구분된다.

바이러스라는 총칭보다는 악성코드(프로그램)라는 통합적 용어로 사용하면 좀더 명확하다고 할 수 있으며, 구체적으로 바이러스인지, 트로이목마인지, 웜인지 등으로 세분화하여 구분하면 이해하는데 큰 도움이 될 수 있다.

openwin.js 파일에는 악의적인 사이트로 연결을 시도하는 아이프레임 코드가 존재한다.

그러나 관리자 등에 의해서 정상적으로 실행되지 못하도록 주석처리된 것으로 보여진다.

사용자 삽입 이미지

또한, 해당 아이프레임 사이트 역시 현재는 정상적으로 작동되지 않고 있다.

사용자 삽입 이미지

이는 결과적으로 오진은 아니지만, 악의적인 코드부분이 정상적으로 작동되지 않고 있기 때문에 미진단도 아니다.

물론 각 Anti-Virus 업체의 진단 범위 정책에 따라 가변적인 부분이다.

이러한 경우 다음과 같이 진행되면 어떨까 싶다.

해당 웹 페이지 관리자가 해당 코드를 신고접수 또는 직접 발견한 경우 단순 주석처리 대응이 아니라, 우선적으로 비정상적인 코드를 제거하고 서버의 외부 침입 흔적을 분석하며, 보안상 취약점이 발견 된 경우 근본적인 문제 해결을 위한 진행을 한다.

물론 자료 기록을 위한 용도로 변조된 스크립트는 별도로 보관하는 것도 중요한 부분이다.

다음으로 Anti-Virus 제품들은 주석처리된 아이프레임 코드를 좀더 정밀하게 진단(예외처리)할 수 있도록 한다면 임의로 변경되어 정상적으로 작동되지 않는 악의적인 아이프레임 코드를 지속적으로 진단하는 문제를 해소할 수도 있을 것으로 보여진다.


Posted by viruslab
신종악성코드정보2008.01.31 12:50


최근들어 다음카페 자료실(PDS)에 악성코드를 첨부해 놓고 해당 링크를 이용하여 악성코드를 퍼트리는 수법이 다수 목격되고 있다.

특히 국내에서 제작된 것으로 보이는 백도어도 발견되고 있다.

대부분 Prorat 종류의 백도어이며, 유명 연예인 동영상처럼 사용자 클릭을 유도하는 것도 발견되었다.

http://pds[제거].cafe.daum.net[제거]afe/2008/01/09/01/23/[제거]adb60
http://pds[제거].cafe.daum.net[제거]afe/2008/01/18/19/13/[제거]ad9a4
http://pds[제거].cafe.daum.net[제거]afe/2008/01/20/15/38/[제거]5958cb8

Posted by viruslab