È£½ºÆ®IT¿¡¼­´Â ¾ÈÁ¤ÀûÀÌ°í Á¤Á÷ÇÑ ¼­ºñ½º¸¦ ¾à¼Óµå¸³´Ï´Ù.

iframeÀ» ÀÌ¿ë, ¾Ç¼ºÄÚµå »ðÀÔ¿¡ ÀÇÇÑ È¨ÆäÀÌÁö º¯Á¶»ç°í
2009.12.21   86669

ÃÖ±Ùµé¾î iframeÀ» ÀÌ¿ë, ¾Ç¼ºÄÚµå »ðÀÔ¿¡ ÀÇÇÑ È¨ÆäÀÌÁö º¯Á¶»ç°í°¡ ºó¹øÈ÷ ¹ß»ýÇÏ°í ÀÖ½À´Ï´Ù.

ÀÌ´Â °¨¿°µÈ ¹ÙÀÌ·¯½º¿¡ ÀÇÇØ Å¬¶óÀ̾ðÆ® PC ¿¡ ÀúÀåµÇ¾î ÀÖ´ø FTP Á¤º¸°¡ ¿ÜºÎ·Î À¯ÃâµÇ¾î
¹ß»ýÇÏ´Â °ÍÀ¸·Î, ÀÌ¿¡ µû¸¥ ÇÇÇØ°¡ ¹ß»ýÇÏ°í ÀÖÀ¸´Ï ´ëºñÇϽñ⠹ٶø´Ï´Ù.

°Ëºí·¯(Gumblar) ¶Ç´Â GENO ¶ó°í ºÒ¸®´Â ¾Ç¼ºÄÚµå´Â ¾îµµºê(Adobe)»çÀÇ Acrobat À̳ª Flash
PlayerÀÇ º¸¾ÈÆÐÄ¡°¡ µÇÁö ¾ÊÀº PC°¡ ƯÁ¤ Web Site ¸¦ ¹æ¹®ÇÏ¿© °¨¿°µÇ´Â 'Drive by Download'
¹æ½ÄÀ¸·Î ÀüÆĵǰíÀÖ¾î ±× °¨¿°¼Óµµ°¡ ¸Å¿ì ºü¸¨´Ï´Ù.

¶ÇÇÑ °¨¿°µÈ PC ÀÌ¿ëÀÚ°¡ Web Site ÀÇ ÆÄÀÏÀ» °ü¸®ÇÏ´Â FTP Ŭ¶óÀ̾ðÆ® ÇÁ·Î±×·¥À» °¡Áö°í ÀÖÀ»
°æ¿ì ID ¿Í Password ¸¦ »©³»¾î ÇØ´ç Web Site ÀÇ index, main µîÀÇ À̸§À» °¡Áø html, php
ÆÄÀϵéÀ» º¯Á¶Çؼ­ ¾Ç¼ºÄڵ带 ´Ù¿î¹Þµµ·Ï Äڵ带 ½É¾î³õ°Ô µË´Ï´Ù.


¡ã Áõ»ó

1) index, main µî html, php ·Î Â¥¿©Áø ÆäÀÌÁö¿¡ iframe ÄÚµå »ðÀÔ µË´Ï´Ù.

-----------------------------------------------------------------------------------------
[iframe ÄÚµå »ðÀÔ ¿¹]
-----------------------------------------------------------------------------------------

  À§¿Í °°ÀÌ ¿©·¯ ÆÄÀÏ¿¡ °ÉÃÄ iframe Äڵ尡 »ðÀԵǾî ÀÖ´Â »çÇ×À» °Ë»öÇÑ ³»¿ë
  (ÆÐÅÏ : iframe src = "http://xxxxxxxx.ru:8080/index.php" width="xxx" height="xxx"
          ~~ /iframe )
  ru ´Â ·¯½Ã¾ÆÀ̸ç, ÁÖ¼ÒÁö°¡ cn (Áß±¹)À¸·Î µÇ¾î ÀÖ´Â °æ¿ìµµ ÀÖ½À´Ï´Ù.

2) °¨¿°µÈ ÆäÀÌÁö Á¢±Ù½Ã »ó´çºÎºÐ ¿©¹é Ç¥½ÃµË´Ï´Ù.

3) /var/log/xferlog ¿¡ ´ÙÀ½°ú °°Àº ÆÐÅÏÀÇ log Á¤º¸°¡ ±×·ÁÁý´Ï´Ù.
-----------------------------------------------------------------------------------------
Thu Sep 17 10:45:20 2009 3 89.191.xxx.56 61116 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 10:45:30 2009 3 213.114.xxx.27 61146 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:20 2009 1 95.26.xxx.85 1175 /home/xxxxxxxx/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:27 2009 2 83.165.xxx.24 1210 /home/xxxxxxxx/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:36 2009 1 200.8.xxx.59 164 /home/xxxxxxxx/bbs/index.html a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:45 2009 1 87.250.xxx.4 199 /home/xxxxxxxx/bbs/index.html a _ i r xxxxxxxx ftp 0 * c
Thu Sep 17 22:28:54 2009 2 85.226.xxx.15 61146 /home/xxxxxxxx/bbs/index.php a _ o r xxxxxxxx ftp 0 * c
Thu Sep 17 22:29:00 2009 2 63.232.xxx.166 61177 /home/xxxxxxxx/bbs/index.php a _ i r xxxxxxxx ftp 0 * c
-----------------------------------------------------------------------------------------

4) ½ÇÁ¦ À§ ·Î±×¸¦ ±Ù°Å·Î ÇØ´ç °èÁ¤À» Á¡°ËÇغ¸¸é iframe ¾Ç¼ºÄڵ带 »ðÀÔ½ÃÄÑ ³õ¾Æ ÆÄÀÏÀ»
   º¯Á¶½Ãŵ´Ï´Ù.
   'o' ´Â ´Ù¿î·Îµå, 'i ´Â ¾÷·Îµå½Ã, Á¢±ÙÁö ¾ÆÀÌÇÇ´Â º¯Á¶µÈ ¾ÆÀÌÇÇ·Î Á¢±Ù½Ã¸¶´Ù ´Þ¶óÁý´Ï´Ù.


¡ã ´ëÀÀÃ¥

1) ¹é½Å ÇÁ·Î±×·¥À» ÀÌ¿ë PC ¿¡ °¨¿°µÈ ÆÄÀÏÀÌ ¾ø´ÂÁö °Ë»çÇÕ´Ï´Ù.

2) xferlog µî FTP log ¸¦ ±Ù°Å·Î °¨¿°µÈ ÆÄÀÏ¸í ¸ðµÎ üũÇÏ¿© ¾Ç¼ºÄڵ带 Á¦°ÅÇÕ´Ï´Ù.
   ¾Ç¼ºÄڵ尡 Á¦°ÅµÇÁö ¾ÊÀº »óÅ¿¡¼­ ´Ü¼øÈ÷ ºñ¹Ð¹øÈ£¸¦ ¹Ù²Ù¾î FTP Á¢¼ÓÀ» ÇÏ°Ô µÇ¸é
   Áö¼ÓÀûÀ¸·Î ID, Password°¡ À¯ÃâµÇ¾î¼­ »çÀÌÆ® º¯Á¶°¡ Áö¼ÓµË´Ï´Ù.

3) GENO ¹ÙÀÌ·¯½º¿¡ °¨¿°ÀÌ µÈ °æ¿ì (Gumblar, Daenol, Gadjo, Kates µî)

   Adobe »çÀÌÆ®¿¡ ¹æ¹®ÇÏ¿© Flash Player ¸¦ 10.0.22.87 ¹öÀü ÀÌ»óÀ¸·Î ¾÷µ¥ÀÌÆ® ÇÕ´Ï´Ù.
   ¢Ñhttp://get.adobe.com/kr/flashplayer/?promoid=DRHWS

   Acrobat Reader ¸¦ 9.1.1 ¹öÀü ÀÌ»óÀ¸·Î ¾÷µ¥ÀÌÆ® ÇÕ´Ï´Ù.
   ¢Ñhttp://get.adobe.com/kr/reader

4) ¹é½Å ÇÁ·Î±×·¥À» ÅëÇØ ½Ç½Ã°£À¸·Î °¨¿° ¿©ºÎ¸¦ üũÇÕ´Ï´Ù.

5) ƯÈ÷, ¿©·¯ °èÁ¤À¸·Î Á¢±ÙÇÏ´Â À¥ ¿¡ÀÌÀü½Ã ¾÷ü¿¡¼­´Â °èÁ¤ ID, Password °ü¸®¿¡ °¢º°È÷
   ÁÖÀǸ¦ ±â¿ïÀÔ´Ï´Ù.


¡ã Á¦³ë(Geno) ¹ÙÀÌ·¯½º

http://www.dt.co.kr/contents.html?article_no=2009062402012269739001


¡ã °ü·Ãº¸µµ/¸®Æ÷Æ® ¸µÅ©

http://www.boannews.com/media/view.asp?idx=16569&kind=1

http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=55938

http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=090522164152&cDateYear=2009&cDateMonth=05&cDateDay=22

http://garwarner.blogspot.com/2009/06/gumblars-48000-compromised-domains.html

ÃÖ±Ù À¯ÇàÇÏ°í ÀÖ´Â °Ëºí·¯(ȤÀº Á¦³ë) ¹ÙÀÌ·¯½º°¡ PC¿¡ ¼³Ä¡µÇ¾î¼­,
ÀÌ ¹ÙÀÌ·¯½º¿¡ ÀÇÇÑ FTP ºñ¹Ð¹øÈ£ À¯Ãâ·Î ȨÆäÀÌÁö°¡ º¯Á¶µÇ´Â °æ¿ì°¡ ÀÖ½À´Ï´Ù.

ÀÌ¿¡ ȨÆäÀÌÁö À§/º¯Á¶¸¦ À¯¹ßÇÏ´Â ¾Ç¼ºÄÚµå ¿¹¹æ¹ýÀ» ¾È³»µå¸³´Ï´Ù.

 

1) Adobe Reader update

Adobe Reader ½ÇÇàÇÏ°í '¸Þ´º > µµ¿ò¸» > ¾÷µ¥ÀÌÆ®' È®ÀÎ ¿¡¼­ update ¸¦ ÁøÇàÇϼ¼¿ä.

2) Adobe Flash update

http://kb2.adobe.com/cps/155/tn_15507.html
À§ »çÀÌÆ®¿¡¼­ Player Version ÀÌ ÃÖ½ÅÀÌ ¾Æ´Ï½Å ºÐµéÀº ÃÖ½ÅÀ¸·Î ¾÷µ¥ÀÌÆ® ÇϽñ⠹ٶø´Ï´Ù.

ÃֽŠ¹öÀüÀº ¾Æ·¡ ÁÖ¼Ò¿¡¼­ ´Ù¿î·Îµå°¡ °¡´ÉÇÕ´Ï´Ù.
http://get.adobe.com/kr/flashplayer/

ÃÖ±Ù °Ëºí·¯(Gumblar) ȤÀº GENO ¶ó°í ºÒ¸®´Â ¾Ç¼ºÄڵ尡 ±Þ¼ÓÈ÷ ÀüÆĵǰí ÀÖ½À´Ï´Ù.
ÇØ´ç ¾Ç¼ºÄÚµå´Â ¾îµµºñ(Adobe)»çÀÇ ¾ÆÅ©·Î¹îÀ̳ª Ç÷¡½¬ÀÇ º¸¾È ÆÐÄ¡°¡ µÇÁö ¾ÊÀº PC°¡
ƯÁ¤ À¥ »çÀÌÆ®¸¦ ¿­±â¸¸ Çصµ °¨¿°µÇ´Â 'µå¶óÀÌºê ¹ÙÀÌ ´Ù¿î·Îµå' ¹æ½ÄÀ¸·Î ÀüÆĵǰí ÀÖ¾î
°¨¿°¼Óµµ°¡ ¸Å¿ì ºü¸¨´Ï´Ù.
¶ÇÇÑ °¨¿°µÈ PC ÀÌ¿ëÀÚ°¡ À¥»çÀÌÆ®ÀÇ ÆÄÀÏÀ» °ü¸®ÇÏ´Â FTP ÇÁ·Î±×·¥À» °¡Áö°í ÀÖÀ» °æ¿ì
ID¿Í ºñ¹Ð¹øÈ£¸¦ »©³» ÇØ´ç À¥»çÀÌÆ®ÀÇ index , main µîÀÇ À̸§À» °¡Áø html, php ÆÄÀϵéÀ»
º¯Á¶Çؼ­¾Ç¼ºÄڵ带 ´Ù¿î¹Þ´Â Äڵ带 ½É¾î³õ°Ô µË´Ï´Ù.
ÇØ°á ¹æ¹ýÀº
1) ÇØ´ç pc ¿¡¼­ ¾Ç¼ºÄڵ带 Á¦°ÅÇØ¾ß ÇÕ´Ï´Ù. Á¦°Å°¡ ¾î·Á¿ï °æ¿ì OS ¸¦ À缳ġÇØ¾ß ÇÕ´Ï´Ù.
±× ´ÙÀ½ OS ¿Í ¾îµµºñ(Adobe)»çÀÇ ¾ÆÅ©·Îºª(Acrobat)°ú Ç÷¡½¬(Flash) ÇÁ·Î±×·¥ÀÇ º¸¾ÈÆÐÄ¡¸¦ ÃֽűîÁö ¼³Ä¡ÇØ¾ß ÇÕ´Ï´Ù.
¾Ç¼ºÄڵ尡 Á¦°ÅµÇÁö ¾ÊÀº »óÅ¿¡¼­ ´Ü¼øÈ÷ ºñ¹Ð¹øÈ£¸¦ ¹Ù²Ûä ftp Á¢¼ÓÀ» ÇÏ°Ô µÇ¸é Áö¼ÓÀûÀ¸·Î ID ¿Í ºñ¹Ð¹øÈ£°¡ À¯ÃâµÇ¾î¼­ »çÀÌÆ® º¯Á¶°¡ Áö¼ÓµË´Ï´Ù.
ºÎµæÀÌ ÇÏ°Ô ¾Ç¼ºÄÚµå Á¦°ÅµÇ±â Àü¿¡ ±ÞÇÏ°Ô ¼öÁ¤À» ÇϽǷÁ°í ÇÑ´Ù¸é ºñ¹Ð¹øÈ£¸¦ ¹Ù²Ù½Ã°í ftp
»ç¿ëÀ» ¸·°í, ´ë½Å sftp ¸¦ »ç¿ëÇØ¾ß ÇÕ´Ï´Ù.
sftp ´Â ÇâÈÄ µ¿ÀÏ ¹®Á¦ ¿¹¹æÀ» À§Çؼ­¶óµµ ftp ´ë½Å °è¼Ó »ç¿ëÀ» ÇϽǰÍÀ» ±ÇÀåÇص帳´Ï´Ù.

2) º¯Á¶µÈ html, php ÆÄÀÏ¿¡¼­ ´ÙÀ½°ú °°Àº ÇüÅÂÀÇ Äڵ带 Á¦°ÅÇϽñ⠹ٶø´Ï´Ù.
< iframe src = " http://xxxxxxxxxxx.cn:8080/index.php" width=198 height=141 >

°ü·ÃÀÚ·á:
http://www.boannews.com/media/view.asp?idx=16569&kind=1
http://www.fnnews.com/viewra=Sent0901m_View&corp=fnnews&arcid=090522164152&
cDateYear=2009&cDateMonth=05&cDateDay=22
http://garwarner.blogspot.com/2009/06/gumblars-48000-compromised-domains.html

¹é½Å¸¶´Ù ºÎ¸£´Â À̸§:
½Ã¸¸ÅØ  Infostealer.Daonol
Ä«½ºÆÛ½ºÅ° Trojan-Dropper.Win32.Agent.apfn
¸¶ÀÌÅ©·Î¼ÒÇÁÆ®  Win32/Daonol.F
¾Ë¾à(BitDefender)  Exploit.PDF-JS.Gen

º» Çö»óÀº »çÀÌÆ®°¡ ÃʱâÈ­¸éÀÌ ´À·ÁÁö°Å³ª, È­¸éÀÌ Æ²¾îÁö°Å³ª, °ü¸®ÀÚ¸ðµå Á¢±Ù½Ã ¿¡·¯¸Þ½ÃÁö Ãâ·Â µî À» º¸½Ç ¼ö ÀÖ½À´Ï´Ù.

ȸ»ç¸í żºÄÄÆÛ´Ï   ´ëÇ¥ÀÚ ±èÁ¾±¸   »ç¾÷ÀÚµî·Ï¹øÈ£ 129-39-00960   Åë½ÅÆǸž÷½Å°í¹øÈ£ Á¦2015-°æ±â¼º³²-0089È£
¼ÒÀçÁö ¼º³²½Ã Áß¿ø±¸ »ó´ë¿øµ¿ ±Ý»ó·Î 134   TEL 070-7090-7979   ÀüÀÚ¿ìÆí cs@hostit.co.kr
COPYRIGHT 2016 MalgnSoft, Inc. ALL RIGHTS RESERVED.