25일 지오트 관계자에 따르면 “국내 특정 사이트가 해킹되어 ActiveX Control을 이용해 트로이목마를 유포 중인 것을 추가로 발견했다”며 “이번에는 마이크로 소프트사의 프론트 페이지로 위장해 설치를 유도하고 있다”고 밝혔다.

이 방식은 이미 플래시와 비주얼 스튜디오 등으로 위장해 설치를 시도한 경우 등이 지오트 바이러스 분석실(GCERT)에서 해킹 사이트 모니터링(GWHS) 과정에서 발견된 바 있으며 제작자는 계속해서 변형시켜 유포를 시도하고 있는 것으로 나타났다. 

지금까지 발견된 위장 화면은 아래와 같다.

Microsoft Flash 8.0 -> Microsoft Flash 8.1 -> Microsoft flash MX 8.0 -> Microsoft MX Flash 7.5 -> Microsoft Visual Studio -> Microsoft frontpage

이번에는 플래시에서 마이크로 소프트사의 비주얼 스튜디오 프로그램으로 위장했다.

Active X 는 아래와 같이 설치된다.(설치 사이트 일부 제거)

지오트 바이러스 분석실 관계자는 “이 트로이목마들은 특정 온라인 게임의 계정과 암호 유출을 시도하는 악성프로그램의 한 종류로 국내의 많은 웹사이트를 해킹해 유포하는 트로이목마다. 게임사용자가 아닐 경우라도 트로이목마에 감염될 경우 인터넷 속도가 현저하게 느려지는 피해를 볼 수 있다”고 경고했다.

[길민권 기자(is21@infothe.com)]

 <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>