지오트는 최근에는 단순한 트로이 목마가 아니라 바이러스나 웜도 유포되고 있어 인터넷 이용자들의 주의가 필요하다며, 이번에 발견된 언론 사이트는 작년에 최초 발견후 지속적으로 트로이 목마를 배포하는 것이 탐지되고 있다고 26일 밝혔다.
http://ad.*****.com
http://money3.*****.com
http://shoppingguide.*****.com
http://interior.*****land.com
http://help.*****.com
http://event.*****.com
http://next.*****.com
http://nk.*****.com
http://ggi.*****land.com
http://changup.*****.com
http://*****land.*****.com
지오트 관계자는 "대형 언론사이트가 다수의 사용자들에게 트로이 목마를 지속적으로 유포한다면 얼마전 특정 게임사용자의 대규모 개인정보 유출 사태와 같은 일이 얼마든지 다시 나타 날 수 있어 인터넷 이용자들의 각별한 주의가 요구된다"며 "일반 인터넷 사용자들은 이런 종류의 피해를 막기 위해서 인터넷 익스플로러의 최신 보안패 치와 함께 최신 버전의 백신프로그램으로 실시간 감시를 해두는것이 중요하다"고 밝혔다.
또한 그는 "사이트 방문자가 해당 사이트에서 직접 파일을 다운로드하지 않아도 트로이목마가 취약점을 이용 해 자동으로 설치/실행되기 때문에 사용자가 발견하기 어려운 부분이 존재한다"며 "피해 사이트 담당자는 해당 사이트를 통해서 제 3의 피해를 만들고 있다는 점을 양지하여야 하며 좀더 적극적이 고 신속한 조치가 요구되며, 방문자들이 감염여부를 판단 할 수 있도록 공지를 해야 할 것"이라고 당부했다.
이번 트로이목마 유포방식은 먼저 보안이 취약한 사이트를 해킹한 후 인덱스 페이지나 사용자들이 즐겨찾는 페이 지내에 취약점을 이용한 스크립트 코드를 삽입하고 링크하는데 이때 IFRAME 명령을 이용해 CHM(도움말 형식)파일을 실행하도록 하며, 잠시 도움말 창이 뜨거나 창 자체가 보여지지 않도록 하기도 한다.
보안취약점을 통한 감염예방을 위하여 최신의 백신프로그램과 인터넷 익스플로러를 사용하며, 아 래의 보안패치는 반드시 설치하는것이 중요하다.
유니큐어와 지오트 안티스파이에어에서는 Trojan-PSW.Win32.Lineage.zd로 진단한다.
이번 취약점 관련 자세한 내용은 다음 링크에서 확인가능하다.
support.microsoft.com/kb/892675
[박은수 기자(boannews@infothe.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지.>
