플레이스 어쩌다 대박!

지난 3월 처음 발견됐으나 5월 중순 이후 감소추세로 알려졌던 검블러가 여전히 위협적인 수준인 것으로 확인됐다. 웹보안 업체 웹센스(Websense)가 최근 리서치 블로그를 통해 이른바 검블러(Gumblar)라고 불리는 드라이브바이다운로드 위협이 지난 5월말 이후 감소했던 것으로 나타난 악성 코드로 손상된 웹사이트들을 통해 지속적으로 광범위한 감염을 유발하고 있다고 주장했다. 특히 데이터 분석 결과 검블러의 위협이 지난 5월 중반 이후 8배나 증가했다고 전했다. 검블러(Gumblar)는 FTP 계정을 탈취하고 스팸을 발송하며 가짜 안티바이러스 소프트웨어를 설치하고 구글의 검색 결과를 하이재킹하는 한편 보안 소프트웨어를 무력화시킨다. 또한 악성 코드를 인스톨하기 위해 웹사이트를 손상시키는 첫 단계를 거쳐 ..

검블러(Gumblar) 합법적인 사이트를 하이재킹해 공격 코드를 삽입하는 것으로, 사용자의 인지 없이 자동 으로 설치되는 드라이브바이다운로드(drive-by-download) 공격이다. 이 악성코드에 감염된 PC에서 FTP 로그인을 하는 경우 계정 정보가 유출될 수 있으며, 일부 백신 소프트웨어의 실행이 중지되고 해당 백신 소프트웨어 사이트의 접속이 차단된다. 또한 감염된 PC에서는 검색 사이트 구글의 검색 결과를 특정 웹사이트로 강제 이동시키는 증상도 발견돼 ‘구글 검색 결과를 조작하는’ 드라이브바이다운로드 공격으로 알려져 있다. 한편, 당초 제노(Geno) 바이러스(혹은 악성코드)로 명명된 검블러는 이 외에도 Daenol, Gadjo, Kates 등으로 불리고 있다.

웹 사이트 하이재킹의 새로운 시도가 이뤄지고 있다. 보안전문업체인 스캔세이프(ScanSafe)에 따르면, 이번에는 구글에 중점을 둔 악성 소프트웨어를 패치하지 않은 PC에 설치하고, 더 나아가 다운로드 드라이브식 접근을 펼칠 것으로 보인다. 스캔세이프가 검블러(Gumblar)라고 이름 붙이 이 공격은 적법한 사이트를 하이재킹해 공격 코드를 삽입하는 것으로 시작된다. Tennis.com이나 Variety.com 등을 포함해 1,500개 이상의 사이트가 해킹됐는데, 현재로서는 그리 엄청난 숫자가 아니지만 빠르게 증가하고 있다. 지난 주만 해도 공격이 80%나 증가했으며, 지난 14일에는 188%나 증가했다. 삽입된 공격 코드는 해당 사이트를 브라우징하는 PC 중 오래되고 패치를 하지 않아 취약점이 있는 PC..