악성코드/악성코드 소식

일본에서 발생한 제노 바이러스(Geno virus)

쿨캣7 2009. 5. 20. 10:44
728x90
반응형


일본에서 제노 바이러스(Geno virus) 출몰했다는 소문이 돌았다.
하지만, 이는 사용자나 언론에서 부르는 이름으로 보안업체에서는 다른 진단명을 사용한다.
일본판 2090 바이러스으로 볼 수 있다.

2009년 5월 18일 경 일본내 다수의 사이트가 해킹 당했고 PDF, SWF 등의 취약점을 이용해 방문하는 사용자에게 악성코드를 설치하도록 한다. 다운로드되는 파일은 중국에서 다운로드 받는다. 하지만, 이런 공격은 4월부터 증가했다고 한다.

이번일도 2090 바이러스처럼 치료 방법이 없다는 등의 내용이 떠돌고 있지만 당연히(!) 확인되지 않은 내용이다. 새로운 변형이 꾸준히 배포되고 있어 발생한 오해로 보인다. (근본적으로는 사용자가 보안 업데이트를 해야함)


현재 이 공격은 일본에서만 발생하는게 아니라 다른나라(영국, 루마니아 등)에서도 보고되고 있다.

- Gumblar web attacks spreading quickly
http://www.gss.co.uk/news/article/6292/%27Gumblar%27_web_attacks_spreading_quickly/

파일을 다운로드 받는 주소는 gumblar.cn과 martuz.cn 이다.
혹시라도 방화벽 로그 등에서 이들 사이트에서 파일을 다운로드 받는다면 공격이 발생한 것일 수 있다.

* 현재까지 다운로드되는 실행 파일에 대한 V3 진단명

Win-Trojan/Rustock.117214
Win-Trojan/Daonol.37376
Win-Trojan/Daonol.17408
Dropper/Agent.15872.BD
Dropper/Agent.15872.BE
Dropper/Agent.15872.BC




[참고자료]

- martuz.cn injection attack
http://www.dynamoo.com/blog/2009/05/martuzcn-injection-attack.html

- GENO바이러스 + 추가
http://blog.naver.com/fuyuno?Redirect=Log&logNo=90047453282


- JP CERT Malicious JavaScript injection attacks are on the rise
http://www.jpcert.or.jp/at/2009/at090010.txt

728x90
반응형