본문 바로가기
etc

한컴 업데이스 서버 해킹을 통한 악성코드 유포

by (주)엠플 2012. 11. 13.

2012년 11월 12일 한글과컴퓨터 제품군을 서비스 하는 한컴업데이트 서버가 외부의 해킹으로 인해 악성코드를 유포하는 행위가 발생햇습니다.

아래의 악성코드에 감염된 사용자는 APT공격의 좀비 PC처럼 특정 정보를 외부의 서버에 전달하고 있습니다.

보안업체의 공지 사항을 참고하여 주시고 내부 사용자의 좀비 PC로서의 활동이 없는지 체크가 필요할것 같습니다.

 

좀비PC점검 요청하기(mskim@impl.co.kr)

Symantec Web Gateway를 통해 엠플 고객사에 대해 무상으로 좀비PC 점검을 진행하여 드리고 있습니다.

 

 

각각 이스트소프트와 안랩 KISA 에서는 아래와 같은 공지를 햇습니다.

 

알약: http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=172

제목: 아래아한글 제품의 사용자를 노린 악성코드 주의

등록일: 2012-11-12

내용:

한글과컴퓨터社 아래아한글 제품의 사용자를 노린 악성코드가 발견되었습니다.
발견된 악성코드는 아래아한글 제품의 업데이트를 통해 감염되는 것으로 알려졌으며
감염 시, 사용자의 키보드 입력을 저장하여 특정 서버로 전송하는 기능을 가지고 있습니다.

현재 알약에서는 이 악성코드를 Trojan.Agent.hupdate 로 진단하고 있습니다.
아래아한글 제품의 사용자께서는 알약을 이용하여 해당 악성코드의 감염 여부를 검사,

치료하시기 바랍니다.

 

안랩: http://blog.ahnlab.com/ahnlab/1642

제목: 아래아 한글 사용자 노린 악성코드 긴급 엔진 제공

등록일: 2012/11/12

내용:

정보보안 기업인 안랩은 12일 아래아한글 사용자 노린 악성코드에 대한 긴급 엔진을 제공한다고 발표했다.

11 12일 아래아한글 업데이트 서버에서 악성코드가 유포된 것으로 추정된다.

유포된 악성코드는 현재 확인된 것만 2종이다.

이에 따라 안랩은 V3 제품군에 해당 악성코드에 대한 진단/치료 기능을 업데이트해 제공 중이다.

현재 업데이트 서버는 접속이 되지 않는 상태여서 추가 감염자는 없지만,

이미 해당 악성코드에 감염된 사용자는 V3 최신 버전으로 진단/치료하는 것이 안전하다.

해당 악성코드는 키보드 입력 값을 저장하는 기능이 있으며, 이 정보는 홍콩의 특정 서버로 전송되는 것으로 파악됐다.

 

KISA: http://download.boho.or.kr/vacc_care/vacc_board_view.jsp?vac_id=VAC20121112003

악성코드명: Trojan/Agent.oin(한글 업데이트 관련) 치료용 전용백신

등록일: 2012-11-12

내용:

본 프로그램은 아래아한글(HWP) 사용자를 노리고 관련 업데이트를 통해서 유포된 악성코드의 감염 여부를 검사/치료할 수 있는 전용백신입니다
o 검사/치료 대상 악성코드 명: Trojan/Agent.oin
o 악성코드 위험도
- 시스템: 높음
- 네트워크: 보통
- 확산: 낮음
o 감염시 증상
- hansoft.***.*** 등 특정 사이트에 접근하며 추가 파일을 생성해 서비스로 등록해 실행된다.
o 사용하는 PC의 운영체제는 항상 최신 업데이트 상태를 유지하시고, 본 프로그램을 통한 특정 악성코드 점검 외에도 전체 치료기능을 제공하는 검증된 백신프로그램을 통하여 주기적으로 PC에 대한 악성코드 검사를 하시기 바랍니다.


 

 

 

댓글0