ASEC에서는 중국에서 제작되는 것으로 추정되는 GongDa Pack으로 명명된 스크립트 형태의 악성코드가 지속적으로 발견되고 있다는 것을 공개한 바가 있다.


7월 30일 - GongDa Pack의 스크립트 악성코드 증가


최근들어 GongDa Pack으로 명명된 스크립트 악성코드 이외에 YSZZ로 명명된 스크립트 악성코드가 버전을 계속 변경하면서 유포되고 있는 것이 발견되었다.


7월 3일 발견된 스크립트 악성코드의 경우는 아래 이미지처럼 상반기부터 발견되기 시작한 다른 YSZZ 스크립트 악성코드 변형들과 동일하게  0.3 버전의 스크립트 였다. 



그러나 8월 3일 발견된  YSZZ 스크립트 악성코드는 아래 이미지와 같이 0.8 VIP 버전으로 업데이트된 버전의 스크립트 였다.



8월 11일 주말에 발견된 YSZZ 스크립트 악성코드는 아래 이미지와 같이 0.9 VIP 버전으로 다시 업데이트된 버전의 스크립트 였다.



해당 업데이트 된 버전의  YSZZ 스크립트 악성코드들은 V3 제품군에서 다음과 같이 진단한다. 하지만 다수의 변형들이 지속적으로 발견되고 있음으로 주의가 필요하다.


HTML/Downloader

JS/Downloader 

JS/Agent 


그리고 네트워크 보안 장비인 트러스가드(TrusGuard) 제품군에서는 다음과 같이 탐지 및 차단이 가능하다.


javascript_malicious_yszz(HTTP)

javascript_malicious_yszz-2(HTTP)


공다 팩과 YSZZ 스크립트 악성코드 모두 어도비 플래쉬(Adobe Flash)와 자바(JAVA)와 같은 일반 어플리케이션들의 취약점을 악용하여 다른 온라인 게임 관련 악성코드나 원격 제어가 가능한 백도어 형태의 악성코드들의 감염을 시도하는 특징이 있다.


그러므로, 운영 체제를 포함한 자주 사용하는 어플리케이션들의 취약점을 제거할 수 있는 보안 패치들을 주기적으로 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원