업데이트 : 2010 년 8 월 23 일

상태

2009 년 12 월 말부터 "Gumblar, Martuz, Geno, Jsredir-R"과 유사한 공격 방법을 사용하여 웹 사이트를 사용하는 맬웨어 인 Gumblar의 감염 활동이 다시 확장되었습니다.

1.1 2009 년 4 월 -6 월

Gumblar의 감염 활동으로 인해 국내 웹 사이트의 많은 홈페이지 변경이 발생했습니다. SecureBrain은 몇 시간 안에 400 개 이상의 국내 웹 사이트가 변조를 확인했다고보고했습니다 (2009 년 6 월 12 일)[4].

1.2 2009 년 10 월에서 11 월

전원을 켜고 난 후에도 껌 블러로 감염된 컴퓨터와 같은 증상이 있었으며 화면이 검은 색으로 변하고 마우스 포인터 만 나타납니다. 카스퍼 스키는 또한 10 월 14 일부터 11 월 16 일 사이에 1,250 개가 넘는 국내 웹 사이트에서 변조가 확인되었다고보고했다.3페이지의 몸으로 이동.

2009 년 12 월 1.3

Gumblar의 확산 감염 활동으로서, 많은 일본 주요 웹 사이트는 의도하지 않은 웹 사이트가 JavaScript를 포함하여 훼손했습니다.

보고 된 껌 블러 감염 활동의 요약은 그림 1과 같습니다.

1. MR. 악성 스크립트가 포함 된 가이드 웹 사이트에 액세스 한 A는 악성 코드가 설치된 공격 웹 사이트로 연결됩니다.
2. 유도 공격 웹 사이트, 프로그램 취약성을 활용하여 컴퓨터를 맬웨어로 감염시킨 후 Gumblar,
3. 공격자에게 FTP 계정 정보를 보냅니다.
4. 공격자는 FTP 계정 정보를 사용하여 Mr. A.
5. 새로운 가이드 웹 사이트를 만듭니다.
6. 이러한 가이드 웹 사이트에 액세스하는 일반 사용자는 A 씨와 동일한 경로를 따라 가며 감염 활동이 더욱 확대 될 것입니다.

그림 1 : 맬웨어 감염에서 웹 사이트 탬 퍼링까지

웹 사이트에 대한 영향

잘못된 스크립트를 포함시키는 것과 같이 웹 사이트 변조가 발생할 수 있습니다. 또한이 웹 사이트가 변경되어 안내 웹 사이트로 바뀌면 Gumblar의 확산 감염 활동의 일부가 될 것입니다.

웹 사이트 시청자 (PCS)에 대한 영향

변조 된 웹 사이트에 액세스하면 공격 웹 사이트로 향하고 맬웨어에 감염 될 수 있습니다. 또한 감염되면 FTP 계정과 같은 정보가 도난 당할 수 있습니다.

1.4 2010

Gumblar의 감염 활동이 점점 다양 해지고 있으며 지속적인주의가 필요합니다 [114소개

공격 웹 사이트에 대한 안내와 관련하여 (그림 1의 1)

공격 사이트를 지시하는 방법으로, 난독 화되고 악의적 인 JavaScript 코드가 지시 될뿐만 아니라 Apache 구성 파일을 이용한다고보고되었습니다.

취약성 착취와 관련하여 (그림 1의 2)

2010 년 6 월에 발견 된 "Windows의 취약성"센터 기능 (Microsoft Security Bulletin MS10-042)의 "Windows 도움말 및 지원 센터 기능 (Microsoft Security Bulletin MS10-042)이 악성 코드 (소위 검은 블라)로 컴퓨터를 감염시키는 것으로보고되었습니다.

공격 활동 정보 (그림 1)

컴퓨터가 맬웨어 (소위 Gumblar)에 감염된 경우 DOS (서비스 거부) 공격에 관여 할 수 있다고보고되었습니다.

• 페이지 상단

2 대책

2.1 웹 사이트 측정

웹 사이트 홈페이지 변조에는 SQL Injection과 같은 웹 사이트에서 제공되는 웹 애플리케이션에서 취약점을 악용하거나 Gumblar에서 추출한 FTP 계정 정보를 사용하는 것이 포함될 수 있습니다. 웹 애플리케이션의 보안 문제를 제거하고 보안 업데이트를 적용하고 최신 맬웨어 방지 소프트웨어를 사용하는 것 외에도 보안 조치는 다음 사항을 확인하십시오.

(1) 원격 유지 보수 환경

액세스하지 않은 날짜와 시간에 액세스가 이루어지지 않은지 확인하고 계정 비밀번호를 변경하십시오. 또한 비밀번호를 변경하더라도 비밀번호를 복원하는 경우가 있었으므로 FTP를 사용하는 경우 원격 유지 보수를 허용하는 컴퓨터의 IP 주소를 제한하는 것이 좋습니다.

(2) 페이지 변조 여부를 확인하십시오

알려지지 않은 JavaScript 또는 iframes가없고 이상한 도메인/IP 주소를 참조하는 JavaScript 또는 iframes가 없습니다 (그림 2).

그림 2 : 잘못된 스크립트를 포함시키는 경우
(※ 여기에 주어진 예제입니다

2.2 컴퓨터 측정

(1) 보안 업데이트 응용 프로그램 상태를 확인하십시오.

JVN의 "MyJVN 버전 검사기"를 사용하여 웹 사이트를 조작하는 맬웨어로 악용 될 가능성이있는 프로그램 버전을 확인하십시오.

새 창보기 (JVN 사이트로 이동)

(2) 보안 업데이트를 적용하십시오.

"MyJVN 버전 검사기"× 최신 버전이 아닌 "표시"라면 버전을 업그레이드하려면 다음을 참조하십시오. 이 경우 MyJVN 버전 검사기 (웹 사이트를 조작하는 맬웨어로 쉽게 이용되는 프로그램)에서 지원하지 않는 프로그램도 업데이트하십시오.

1. Adobe Flash Player 다운로드 사이트
2. 이미 Antimalware 소프트웨어가 설치된 경우 "무료 McAfee Security Scan (선택 사항)"을 선택 취소 동시에
3. "지금 설치"버튼을 클릭하고 지침에 따라 설치하려면

1. Adobe Flash Player 다운로드 사이트
2. "운영 체제 또는 브라우저 변경"을 클릭하십시오
3. 풀다운 메뉴에서 "Windows 7/Vista/XP/2008/2003/2000"을 선택하고 "계속"버튼을 클릭하십시오
4. "Windows 용 Flash Player 10- 기타 브라우저"
5. 이미 Antimalware 소프트웨어가 설치된 경우 "무료 McAfee Security Scan (선택 사항)"을 선택 취소 동시에
6. "지금 설치"버튼을 클릭하십시오
7. "다운로드하려면 여기를 클릭하고 데스크탑에 저장
8. "install_flash_player.exe"를 데스크탑에 다운로드하고 지침에 따라 설치하는 "install_flash_player.exe"를 두 번 클릭하십시오

1. [시작]-[모든 프로그램]
2. [도움말]-[업데이트가 있는지 확인한 후] 지침을 따라 버전을 업그레이드

1. [시작]-[제어판]
2. 화면 왼쪽 상단의 "클래식 뷰로 전환"을 클릭하십시오
3. "Java"아이콘을 두 번 클릭하고 "업데이트"탭을 클릭하십시오
4. "지금 업데이트"버튼을 클릭하고 지침에 따라 설치하려면

1. QuickTime 다운로드 사이트
2. "다운로드 시작"버튼을 클릭하고 데스크탑에 저장
3. 저장된 "QuickTimeInstaller.exe"를 두 번 클릭하고 지침을 설치하려면

1. Adobe Shockwave 플레이어 다운로드 사이트
2. "지금 설치"버튼을 클릭하십시오
3. 이미 Antimalware 소프트웨어를 설치 한 경우 "Norton Security Scan 포함"동시에
4. "다음"버튼을 클릭하고 지침에 따라 설치하려면

1. Microsoft 업데이트 사이트
2. 지침에 따라 설치

1. Microsoft 업데이트 사이트
2. 지침에 따라 설치

업데이트가 완료된 후 "MyJVN 버전 확인자"를 사용하여 버전을 다시 확인하십시오.

새 창보기 (JVN 사이트로 이동)

(3) 신뢰할 수있는 최신 방지 소프트웨어 사용

Antimalware 소프트웨어가 설치되고 자동 정의 파일 업데이트가 설정되었으며 정의 파일이 최신 상태인지 확인하십시오. 즉시 안티 맨웨어 소프트웨어를 준비 할 수없는 경우 무료 온라인 스캔 서비스를 사용하는 것이 좋습니다.

• 온라인 스캔 (Trend Micro Co., Ltd.)
  http : //www.trendflexsecurity.jp/housecall/index.html
• Symantec Security Check (Symantec Co., Ltd.)
  http : //security.symantec.com/sscv6/default.asp? productid = Symhome & langid = jp & venid = sym
• McAfee Freescan (McAfee Inc.)
  http : //www.mcafee.com/japan/mcafee/home/freescan.asp
• 바이러스 및 솔루션 (Kaspersky Labs Japan)
  http : //support.kaspersky.co.jp/viruses/solutions? qid = 208283462

• 페이지 상단

3 관련 정보

3.1 관련 조직의 경고

• 1) JPCERT/CC : 웹 사이트 변조 및 소위 껌 블러 바이러스 감염의 확산에 관한 경고
  http : //www.jpcert.or.jp/at/2010/at100001.txt
• 2) IPA : 웹 사이트 관리자 : 웹 사이트 변조에 대한 경고, 일반 사용자 : 변조 된 웹 사이트에서 바이러스 감염에 대한 경고
  http : //www.ipa.go.jp/security/topics/2009122.html
• 3) 사이버 클린 센터 : 홈페이지 감염을 방지하기
  https : //www.ccc.go.jp/detail/web/index.html

3.2 감염 활동에 관한 정보

2009 년 4 월 -6 월

• 4) Secure Brain : Secure Brain은 Geno 바이러스에 감염된 일본의 400 개 이상의 웹 사이트를 확인합니다
  http : //www.securebrain.co.jp/news/090612_gred_geno.html
• 5) IBM : Adobe Reader/Flash Player의 취약성을 대상으로 공격이 증가했습니다 (Gumblar.cn 소개) [Soc Report]
  http : //www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1332722? cntxt = a1010214
• 6) 현재 상태 노트 (cnotes) : Geno (Zlkon) 바이러스 새로운 위협?
  http : //jvnrss.ise.chuo-u.ac.jp/csn/index.cgi? p = geno%28z LKON%29%A5%A6%A6%A5%A4%A4%A5%EB%A5%B9+%BF%B7%A4%BF%A4%CA%B6%B0%D2%A1%A9

2009 년 10 월에서 11 월

• 7) IBM : Adobe Reader/Acrobat Surges (계속 뉴스)를 대상으로하는 공격 [Tokyo Soc Report]
  http : //www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1333854? cntxt = a1010214
• 8) Kaspersky Labs Japan : 새로운 위협에 대한 경고, 껌 블라와 매우 유사
  1Gumblar의 확산 감염 활동으로서, 많은 일본 주요 웹 카지노 용어는 의도하지 않은 웹 카지노 용어가 JavaScript를 포함하여 훼손했습니다.
• 9) 현재 상태 노트 (Cnotes) : Zlkon, Gumblar, Martuz 2 위
  http : //jvnrss.ise.chuo-u.ac.jp/csn/index.cgi? p = zlkon%a1%a2gumblar%a1%a2martuz+%ba%c6%ce%d7

2009 년 12 월

• 10) 현재 상태 노트 (cnotes) : 주입 gnu gpl/code1
  http : //jvnrss.ise.chuo-u.ac.jp/csn/index.cgi? p =%a5%a4 %A5%F3%A5%B8%A5%A7%A5%AP%A5%B7%A5%E7%A5%F3%A1%A1GNU+GPL%A1%BFCODE1

2010

• 11) 일본 C-SART Council : Gumbler 바이러스 대책 요약
  http : //www.nca.gr.jp/2010/netanzen/index.html

히스토리 업데이트

2010 년 8 월 23 일

• 2010 년 상황 추가.

2010 년 1 월 12 일

• 이 페이지를 새로 작성하고 게시했습니다.

---

1Gumblar의 감염 활동이 점점 다양 해지고 있으며 지속적인주의가 필요합니다 [