지오트는 특정 온라인 게임 사이트에서 플래쉬파일을 변조한 트로이목마가 유포되는 것을 발견했다고 30일 밝혔다.

지난 3월 9일 특정 어학원 사이트가 해킹돼 트로이목마가 유포중인 것이 발견됐다. 이 방식은 기존 html 에 스크립트나 html 코드를 삽입하는 것이 아니라 웹 사이트에 존재하던 정상적인 플래쉬(SWF)파일을 고의적으로 수정한 다음에 내부에 액션 스크립트 코드를 삽입한 형태였다.

그 후 20일이 지난 오늘 특정 온라인 게임 사이트에서 같은 방식으로 트로이목마를 유포하는 것이 추가발견 됐다.

아래는 플래쉬 파일 에서 해당 스크립트를 일부 분석한 화면이다.

플래쉬 파일이 실행되면 내부에 포함돼 있는 또 다른 국내의 해킹 사이트에 올려져 있는 트로이목마 파일이 보안취약점을 이용해서 다운로드되고 실행된다.

트로이목마는 pro4-5.jpg 그림파일로 위장하고 있지만 실제로는 chm 도움말 형식의 압축파일이며, 내부에 svchost.exe(19,926 바이트) 를 포함하고 있다.

해당 트로이목마는 국내 유명 온라인 게임(리**,한**,넷**,피*)사용자의 로그인 아이디와 암호를 유출시도하는 Trojan-PSW 종류이다.

지오트 관계자는 “현재 해킹피해가 발견된 사이트 업체에 긴급통보한 상태”이라며 “플래쉬 파일 내부에 스크립트 코드를 숨길경우 관리자가 해당 코드를 발견하기는 사실상 힘들 것으로 예상된다”고 밝혔다.

[박은수 기자(boannews@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지.>