소프트인포 더좋은소프트웨어
Home고객지원공지사항
공지사항
[긴급]보안업체 유사도메인을 C& C 서버로 사용하는 악성코드 주의 알림   11-08-02
소프트정보…   10,068
 

안녕하세요.

이스트소프트 입니다

 

최근에 유포되는 일부 악성코드를 분석하면서좀비 PC화된 감염된 시스템에 명령을 내리는 C&C서버의 도메인을 보안업체의 도메인과 유사하게 사용하는 행태가 발견되어  미리 알려드립니다.

 

최근에 발견된 악성코드 내부에 포함되어 있던 악성코드 C&C서버로 이용되는 보안업체 유사도메인 리스트는 다음과 같습니다.

 

pc.nprotects.org

bbs.trendmicros.net

dinosking.com

dnf.softsforum.org

download.bomuls.com

download.softsforum.org

download.trendmicros.net

file1.nprotects.org

forum.bomuls.com

gom.dinosking.com

gom.enjoygamex.com

path.alyac.org

update.alyac.org

update.nprotects.org

update.windowupdate.org

office.windowupdate.org

 

한가지 예를 들어위의 리스트에는 업데이트 주소가 update.alyac.org로 되어 있으나실제 알약의 업데이트주소는 xxxxupdatexx.alyac.co.kr 의 형태로 이뤄져 있습니다.

alyac.org라는 도메인이 악성코드 C&C서버로 사용되고 있으나실제로 alyac.org는 이스트소프트에서 구매한 도메인이 아닙니다.

악성코드 유포자가 알약을 포함한 보안업체(트렌드마이크로소프트포럼엔프로텍트등)의 도메인과 유사한 도메인을 구입하여 사용자로 하여금 실제 보안업체의 서버로 믿게 하려는 것으로 추측됩니다.

 

참고로 이스트소프트에서 구매한 알약 관련 도메인 내역은 다음과 같습니다.

 

alyac.com

alyacasia.com

alyac.co.kr

alyak.co.kr

alyac.net

alyac.kr

alyac.co

 

추후에 악성코드가 위에 언급한 도메인 외의 알약과 유사한 도메인으로 접속을 시도하려는 행위를 발견하게 되시면지체하지 마시고 바로 알약 기술지원팀으로 연락주시면 빠르게 조치하도록 하겠습니다.

 
공지사항

[긴급] 공개용 알툴즈 제품 보안 패치 
네이트/ 싸이월드 개인정보 유출 여부 확인사이트