온라인 게임, 플래시 게임 사이트인 겜미르(gemmir.coom)이 해킹된 듯 합니다.
겜미르의 전용프로그램 설치 웹 페이지에 악성스크립트가 Injection 되어 있구요,
이를 통해 온라인게임해킹 악성코드가 유포되고 있습니다.
유포되는 악성코드는 바이러스토탈(virustotal.com)에 돌려본 결과,
카스퍼스키, 맥아피, 시만텍, 하우리 등 국내에서 많이 사용되는 주요 엔진에서
아직 진단하지 못하고 있어, 정말 주의해야 합니다.
아래 화면은 겜미르 전용프로그램 설치 페이지를 사이트가드가 휴리스틱 감지한 화면입니다.
위 화면에서 제시해 준 FRAME의 주소를 브라우징 해 보면,
다음과 같이 인코딩 되어 있습니다.
인코딩 되어 있는 스크립트를 디코딩 해 보면, IE 취약점을 이용하여 rmb.exe라는 파일을 다운로드하여 실행하는 VBScript로 구성되어 있습니다.
아래는 rmb.exe를 바이러스토탈에 돌려본 결과입니다.
정말 흔하게 접하는 웹 사이트에서 해킹피해가 있는 것 같습니다.
또한 대부분 다중 백신을 사용할 경우, 충돌의 우려등으로 1PC 1백신을 권장하고 있는데,
시그니처 기반의 백신만 믿고 있다가는 당할 수 있겠네요...
결국 저런 신종(또는 변종) 악성코드를 백신 업체들에게 신고하여 엔진에 반영하는 방법의 시그니처 기반 백신들의 한계인 것 같습니다.
사이트가드를 계속 사용해 보면서 느끼는 부분이네요 ^^
이올린에 북마크하기
이올린에 추천하기'보안 위험 정보' 카테고리의 다른 글
| 겜미르(gemmir) 해킹으로 악성코드 유포 중.. (1) | 2009/03/30 |
|---|---|
| 벅스뮤직 웹사이트에서 악성코드(루트킷) 유포 중, 조심하세요~ (2) | 2009/03/19 |
| xportstv.com에 가면 악성코드가.. 주의하세요~ (0) | 2008/12/05 |
| 게임샷(gameshot.net) 웹사이트 해킹, 악성코드 유포중 (5) | 2008/12/01 |
| DSP엔터테인먼트 웹사이트 악성코드 유포 중 (주의하세요^^) (2) | 2008/11/26 |
| 부산문화회관 사이트 해킹으로 악성코드 유포 중 (2) | 2008/11/21 |
