본문 바로가기
AhnLab 보안in

해외에서 확산되고 있는 제노 바이러스

by 보안세상 2020. 4. 8.

2009.05.28

 

안철수연구소는 점점 지능화하는 악성코드의 피해를 사전에 차단하고자, 사전대응TFT를 운영하고 있습니다.  [관련글  : 사이버 보안의 첩보조직 패밀리가 떴다!] 사전대응TFT에서 현재 일본에서 확산되고 있는 제노 바이러스에 대해 사전대응을 위한 정보를 제공해 주었습니다.

2009년 5월 19일 부터 일본 현지에 제노 바이러스(Geno virus)가 확산되고 있음이 알려지고, 루마니아, 영국 등 유럽지역에서도 확산 우려가 제기되고 있습니다.기업의 정보보호 담당자분들이나 개인 사용자들은 주의하시기 바랍니다.  
 
제노 바이러스는2009년 4월 4일 일본의 컴퓨터 판매 사이트인 제노 홈페이지를 통해 악성코드가 전파되면서 언론에 의해 명명된 이름입니다. 중국의 Gu***ar.cn 웹 사이트에서 악성코드들을 다운로드 받는 특징으로 인해 Gumblar 바이러스, JSRedir-R 등으로도 불리고 있습니다.

이와 유사한 예는 2009년 2월 한국에서 발생한 2090 바이러스가 있는데, 2090 바이러스에 감염 될 경우 시스템 날짜가 2090년으로 변경해 버려 컴퓨터 사용자들과 언론에 의해 2090 바이러스라고 불렀지만 보안 업체에서는 악성 IRC봇 변형인 Win32/AimBot.worm.15872라는 명칭을 이용하고 있습니다.

2009년 5월 중순까지 일본에서는 유사한 공격이 지속되어 JP-CERT에서도 악의적인 자바스크립트 인젝션 공격이 증가하고 있다고 보고하고 있습니다. 5월 22일에는 한국에서도 최초 확인이 되었습니다. V3 제품군은 5월 21일부터 다오놀(Win-Trojan/Daonol.37376)으로 진단하고 있습니다.

웹사이트 공격자의 최종 목표는 취약점을 악용해 사용자 컴퓨터에 다른 악성코드들을 설치하는 것입니다. 공격자는 자동화된 도구를 이용해 취약점이 존재하는 웹 사이트에 악의적인 코드를 심어 둔 것으로 추정됩니다.

[ 공격자가 심어둔 스크립트 코드]


공격자가 심어둔 악성 스크립트의 암호를 풀어볼 경우 gumblar.cn 혹은 martuz.cn 사이트에 [ http://martuz.cn/vid/?id=[숫자] ] 로 접속하도록 유도합니다. 접속을 시도하는 주소는 일본뿐만이 아니라 다른 나라에서도 동일한 형태로 존재합니다.

중국에 있는 특정 웹 사이트에 접속하게 되면, 사용자의 시스템에 설치된 어도비(Adobe) 아크로뱃(Acrobat) 또는 플래쉬 플레이어(Flash Player)의 취약점을 이용해  아래와 같은 악성코드들이 자동으로 다운로드되고 실행됩니다.

- Win-Trojan/Rustock.117214
- Win-Trojan/Daonol.37376
- Win-Trojan/Daonol.17408
- Dropper/Agent.15872.BC
- Dropper/Agent.15872.BD
- Dropper/Agent.15872.BE


최종적으로 사용자의 컴퓨터에 설치되는 악성코드는 다양하며 이외에도 공격자가 의도하는 다른 악성코드도 설치 될 수 있습니다.

제노 바이러스를 예방하는 방법은 아래와 같습니다.

- Microsoft에서 제공하는 최신 보안 패치를 적용하여 인터넷 익스플로러에 존재하는 취약점 제거

- 어도비 최신 버전 업데이트 :  어도비 리더 실행 후 상단 메뉴에서 [도움말] – [업데이트 확인]을 통해 최신 버전인지 확인 후 필요 시 업데이트 합니다. 어도비 업데이트 사이트 :
http://www.adobe.com/kr/downloads/updates/


-어도비 플래쉬 플레이어(Adobe Flash Player)를 최신 버전으로 업데이트 : 윈도우 시스템 (보통 C:\Windows\System32) Macromed 의 Flash 폴더로 이동하여FlashUtil9?.exe (e,f 등 알파벳) 실행합니다.

- 백신 사용 및 최신 엔진 업데이트 (실시간 감시 기능 사용) : V3(V3 IS, V3 365, V3 Lite 및 V3 Net for Server 제품군)에서는 2009.05.21.00 엔진에서부터 진단 및 치료 가능합니다.

- 사이트가드(SiteGuard) 설치 및 적용 : 위험 웹사이트 사전 차단 프로그램인 사이트가드 설치로 악의적인 웹 사이트에 대한 검사 및 차단합니다.