호스트IT에서는 안정적이고 정직한 서비스를 약속드립니다.

iframe을 이용, 악성코드 삽입에 의한 홈페이지 변조사고
2009.12.21   44787

최근들어 iframe을 이용, 악성코드 삽입에 의한 홈페이지 변조사고가 빈번히 발생하고 있습니다.

이는 감염된 바이러스에 의해 클라이언트 PC 에 저장되어 있던 FTP 정보가 외부로 유출되어
발생하는 것으로, 이에 따른 피해가 발생하고 있으니 대비하시기 바랍니다.

검블러(Gumblar) 또는 GENO 라고 불리는 악성코드는 어도브(Adobe)사의 Acrobat 이나 Flash
Player의 보안패치가 되지 않은 PC가 특정 Web Site 를 방문하여 감염되는 'Drive by Download'
방식으로 전파되고있어 그 감염속도가 매우 빠릅니다.

또한 감염된 PC 이용자가 Web Site 의 파일을 관리하는 FTP 클라이언트 프로그램을 가지고 있을
경우 ID 와 Password 를 빼내어 해당 Web Site 의 index, main 등의 이름을 가진 html, php
파일들을 변조해서 악성코드를 다운받도록 코드를 심어놓게 됩니다.


▲ 증상

1) index, main 등 html, php 로 짜여진 페이지에 iframe 코드 삽입 됩니다.

-----------------------------------------------------------------------------------------
[iframe 코드 삽입 예]
-----------------------------------------------------------------------------------------

  위와 같이 여러 파일에 걸쳐 iframe 코드가 삽입되어 있는 사항을 검색한 내용
  (패턴 : iframe src = "http://xxxxxxxx.ru:8080/index.php" width="xxx" height="xxx"
          ~~ /iframe )
  ru 는 러시아이며, 주소지가 cn (중국)으로 되어 있는 경우도 있습니다.

2) 감염된 페이지 접근시 상당부분 여백 표시됩니다.

3) /var/log/xferlog 에 다음과 같은 패턴의 log 정보가 그려집니다.
-----------------------------------------------------------------------------------------
Thu Sep 17 10:45:20 2009 3 89.191.xxx.56 61116 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 10:45:30 2009 3 213.114.xxx.27 61146 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:20 2009 1 95.26.xxx.85 1175 /home/xxxxxxxx/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:27 2009 2 83.165.xxx.24 1210 /home/xxxxxxxx/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:36 2009 1 200.8.xxx.59 164 /home/xxxxxxxx/bbs/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:45 2009 1 87.250.xxx.4 199 /home/xxxxxxxx/bbs/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:54 2009 2 85.226.xxx.15 61146 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:29:00 2009 2 63.232.xxx.166 61177 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
-----------------------------------------------------------------------------------------

4) 실제 위 로그를 근거로 해당 계정을 점검해보면 iframe 악성코드를 삽입시켜 놓아 파일을
   변조시킵니다.
   'o' 는 다운로드, 'i 는 업로드시, 접근지 아이피는 변조된 아이피로 접근시마다 달라집니다.


▲ 대응책

1) 백신 프로그램을 이용 PC 에 감염된 파일이 없는지 검사합니다.

2) xferlog 등 FTP log 를 근거로 감염된 파일명 모두 체크하여 악성코드를 제거합니다.
   악성코드가 제거되지 않은 상태에서 단순히 비밀번호를 바꾸어 FTP 접속을 하게 되면
   지속적으로 ID, Password가 유출되어서 사이트 변조가 지속됩니다.

3) GENO 바이러스에 감염이 된 경우 (Gumblar, Daenol, Gadjo, Kates 등)

   Adobe 사이트에 방문하여 Flash Player 를 10.0.22.87 버전 이상으로 업데이트 합니다.
   ☞http://get.adobe.com/kr/flashplayer/?promoid=DRHWS

   Acrobat Reader 를 9.1.1 버전 이상으로 업데이트 합니다.
   ☞http://get.adobe.com/kr/reader

4) 백신 프로그램을 통해 실시간으로 감염 여부를 체크합니다.

5) 특히, 여러 계정으로 접근하는 웹 에이전시 업체에서는 계정 ID, Password 관리에 각별히
   주의를 기울입니다.


▲ 제노(Geno) 바이러스

http://www.dt.co.kr/contents.html?article_no=2009062402012269739001


▲ 관련보도/리포트 링크

http://www.boannews.com/media/view.asp?idx=16569&kind=1

http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=55938

http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=090522164152&cDateYear=2009&cDateMonth=05&cDateDay=22

http://garwarner.blogspot.com/2009/06/gumblars-48000-compromised-domains.html

최근 유행하고 있는 검블러(혹은 제노) 바이러스가 PC에 설치되어서,
이 바이러스에 의한 FTP 비밀번호 유출로 홈페이지가 변조되는 경우가 있습니다.

이에 홈페이지 위/변조를 유발하는 악성코드 예방법을 안내드립니다.

 

1) Adobe Reader update

Adobe Reader 실행하고 '메뉴 > 도움말 > 업데이트' 확인 에서 update 를 진행하세요.

2) Adobe Flash update

http://kb2.adobe.com/cps/155/tn_15507.html
위 사이트에서 Player Version 이 최신이 아니신 분들은 최신으로 업데이트 하시기 바랍니다.

최신 버전은 아래 주소에서 다운로드가 가능합니다.
http://get.adobe.com/kr/flashplayer/

최근 검블러(Gumblar) 혹은 GENO 라고 불리는 악성코드가 급속히 전파되고 있습니다.
해당 악성코드는 어도비(Adobe)사의 아크로뱃이나 플래쉬의 보안 패치가 되지 않은 PC가
특정 웹 사이트를 열기만 해도 감염되는 '드라이브 바이 다운로드' 방식으로 전파되고 있어
감염속도가 매우 빠릅니다.
또한 감염된 PC 이용자가 웹사이트의 파일을 관리하는 FTP 프로그램을 가지고 있을 경우
ID와 비밀번호를 빼내 해당 웹사이트의 index , main 등의 이름을 가진 html, php 파일들을
변조해서악성코드를 다운받는 코드를 심어놓게 됩니다.
해결 방법은
1) 해당 pc 에서 악성코드를 제거해야 합니다. 제거가 어려울 경우 OS 를 재설치해야 합니다.
그 다음 OS 와 어도비(Adobe)사의 아크로벳(Acrobat)과 플래쉬(Flash) 프로그램의 보안패치를 최신까지 설치해야 합니다.
악성코드가 제거되지 않은 상태에서 단순히 비밀번호를 바꾼채 ftp 접속을 하게 되면 지속적으로 ID 와 비밀번호가 유출되어서 사이트 변조가 지속됩니다.
부득이 하게 악성코드 제거되기 전에 급하게 수정을 하실려고 한다면 비밀번호를 바꾸시고 ftp
사용을 막고, 대신 sftp 를 사용해야 합니다.
sftp 는 향후 동일 문제 예방을 위해서라도 ftp 대신 계속 사용을 하실것을 권장해드립니다.

2) 변조된 html, php 파일에서 다음과 같은 형태의 코드를 제거하시기 바랍니다.
< iframe src = " http://xxxxxxxxxxx.cn:8080/index.php" width=198 height=141 >

관련자료:
http://www.boannews.com/media/view.asp?idx=16569&kind=1
http://www.fnnews.com/viewra=Sent0901m_View&corp=fnnews&arcid=090522164152&
cDateYear=2009&cDateMonth=05&cDateDay=22
http://garwarner.blogspot.com/2009/06/gumblars-48000-compromised-domains.html

백신마다 부르는 이름:
시만텍  Infostealer.Daonol
카스퍼스키 Trojan-Dropper.Win32.Agent.apfn
마이크로소프트  Win32/Daonol.F
알약(BitDefender)  Exploit.PDF-JS.Gen

본 현상은 사이트가 초기화면이 느려지거나, 화면이 틀어지거나, 관리자모드 접근시 에러메시지 출력 등 을 보실 수 있습니다.

회사명 태성컴퍼니   대표자 김종구   사업자등록번호 129-39-00960   통신판매업신고번호 제2015-경기성남-0089호
소재지 성남시 중원구 상대원동 금상로 134   TEL 070-7090-7979   전자우편 cs@hostit.co.kr
COPYRIGHT 2016 MalgnSoft, Inc. ALL RIGHTS RESERVED.