28일 오전 7시경 국내 모 포털사이트 하위 2곳에서 URL이 해킹돼 트로이목마를 유포 중이라고 지오트 바이러스 분석실이 발표했다.

지오트의 GWHS(Geot Web Hacking Scan)시스템을 통해 발견된 트로미목마는 현재 한국정보보호진흥원(KISA) 인터넷 침해대응센터와 해당 포털에 신속하게 내용이 전달된 상태다.

보안이 취약한 사용자가 해당 포털 사이트에 접속을 하게 되면 아래와 같은 iframe 링크가 실행되면서 사용자 컴퓨터에 게임정보 유출시도용 트로이목마 파일이 설치된다.(일부 모자이크)

index.htm 파일이 실행되면 국내의 또 다른 게임관련 해킹 피해 사이트에 올려져 있는 mm.htm 과 mm.js 파일이 실행된다.

http://****game***********/mm.htm

http://****game***********/mm.js

가장 먼저 윈도우의 Downloaded Program Files 폴더에 fucksnow.exe 라는 이름으로 설치되면서 실행된다.

그 후에 시스템폴더에 아래와 같은 파일이 생성된다.

현재 해당 포털 사이트는 많은 사용자가 접속하는 서비스를 진행 중인 사이트이며, 2곳의 URL 에서 유포되는 것이 발견돼 사용자들의 각별한 주의가 요망된다.

설치되는 explorer.exe(42,053 바이트)와 ab1dll.dll(37,376 바이트)는 국내 유명 온라인 게임의 계정과 암호를 유출시도하는 기능을 가진 트로이목마다. 지오트 관계자는 현재 “유포된 해당 파일은 현재 분석중에 있으며, 곧 자세한 정보를 제공할 예정”이라고 밝혔다.

[길민권 기자(is21@infothe.com)]

 <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>