어느 날 갑자기 멀쩡하던 홈페이지 레이아웃이 엉망으로 바뀌면서 관리자 페이지도 못들어가는 증상이 발생하여 index.php 소스를 내려받아 코드를 살펴보니 원래는 없던 코드가 아이프레임 방식으로 히든처리되어 심어져 있습니다.

코드는 <iframe src="./hxxxxxp://bestfindaloan.cn:8080/index.php" width=116 height=188 style="visibility: hidden"></iframe> 식입니다. 주소는 매우 다양합니다 (6월6일자 보고에 의하면 48,000개 도메인)  <= 바이러스 감염될 수 있으니 위 주소에 접속은 하지 마세요.

 

1. 바이러스 명 : 신종 지능형 웜바이러스 Gumblar (일명 제노바이러스) 2009년3월에 처음 발견되어 급속히 번지고 있으며 현존하는 바이러스중 가장 악질적인 바이러스 (ZDnet)
공격유형이 최근 최악의 웜바이러스로 불리는 Conficker 바이러스보다 치명적 Google의 검색결과를 조작시켜 악성코드를 내포한 사이트로 유도하는 기능도 있슴. 익스플로러 브라우저 자체에 악성코드를 주입시켜 웹트래픽유발

2. 감염경로

가. 퍼스널컴퓨터 1차 감염

위 바이러스에 감염된 사이트에 접속하면 바이러스를 만든 공격자의 홈페이지(아이프레임에 심어진 사이트 : 최초에는 gumblar.cn 이었는데 지금은 수만개의 숙주사이트-합법적이고 정상적인 사이트임-가 존재)로 리다이렉트되고 방문자의 퍼스널컴퓨터로 감염된 PDF파일을 내려받게 한다. 감염된 PDF파일는 아크로뱃리더 또는 플래시플레이어의 취약점을 이용하여 방문자의 퍼스널컴퓨터에 대한 접근권한을 취득한다. 그 후 바이러스는 FTP 클라이언트(파일질라,드림위버,나모,CuteFTP,WsFtp,알FTP 등)의 패스워드를 빼내 공격자의 호스트로 보내고 때로는 윈도우프롬프트, 레지스트리에디터, 안티바이러스프로그램을 무력하게 만든다.

나. 서버 2차 감염
공격자의 호스트사이트는 퍼스널컴퓨터에서 획득한 패스워드를 이용하여 FTP를 통해 멋이감 웹사이트에 접속해서 다량의 파일을 내려받아 악성코드를 주입하고 다시 업로드시킨다. 그코드는 HTML,PHP,Javascript,ASP,ASPx 등 body 태그가 포함된 파일에 삽입된다. 삽입된 악성코드는 그 코드를 실행하는 컴퓨터(방문자의 퍼스널컴퓨터)를 감염시키도록 자바스크립트를 포함하고 있다. 여기에 더하여 몇몇 파일(위에서 언급한 index,main,home,default) 에는 아이프레임을 삽입시킨다. 바이러스는 또한 .htacess 및 HOSTS 파일을 변조시키며 images 폴더에 images.php 파일을 생성시킨다. 감염은 서버전체로 퍼지는 것은 아니고 패스워드가 탈취된 사이트에서만 일어난다.

위 가항과 나항의 모든 과정은 프로그램에 의해 자동 진행된다.

 

3. 감지 및 처방

가. 퍼스널컴퓨터
바이러스 감염의 시작점이기때문에 퍼스널컴퓨터부터 손봐야 합니다. 먼저 안티스파이웨어 Tool로 스캔을 합니다. 알약이나 Kaspersky으로는 검출이 안됩니다. 검출 가능한 툴은 Malewarebytes(무료버전) 이나 HijackThis 입니다. 저는 Malewarebytes로 돌려보니 알약으로는 깨끗했던 사무실 컴퓨터가 24개의 Trojan.BHO, Trojan.Games Thief, Trojan Backboor 등 다양하게 점령당했더군요. 일단 치료후 컴퓨터가 깨끗해진 것이 확인되면 반드시 FTP 패스워드를 변경하고 재감염을 막기 위해서는 접속편의를 위해  FTP 클라이언트에 패스워드를 저장해놓고 쓰는 방식은 하지 말아야 합니다. 번거롭더라도 그때 그때 패스워드를 입력해서 접속하세요.

 

나. 서버
서버는 완벽히 깨끗이 정리되어야 합니다. 단 한개의 감염된 파일이 남아 있어도 재감염됩니다. 가장 권장하는 방법은 깨끗한 백업본이 있다면 서버에 있는 파일을 싹 지우고 백업본으로 대체하는 것이고, 아니면 서버에 있는 파일을 내려받아 안티바이러스 프로그램으로 치료후에 재업로드 하는 것입니다.  아이프레임으로 심어진 악성 코드는 수작업으로 리무브시켜야합니다.