마이크로소프트(Microsoft)에서 2011년 10월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2011년 11월 09일 배포하였다.

이번에 마이크로소프트에서 배포된 보안 패치들은 총 4건으로 다음과 같다.

Microsoft Security Bulletin MS11-083 - 긴급
TCP/IP의 취약점으로 인한 원격 코드 실행 문제점 (2588516)

Microsoft Security Bulletin MS11-084 - 보통
Windows 커널 모드 드라이버의 취약점으로 인한 서비스 거부 문제점 (2617657)

Microsoft Security Bulletin MS11-085 - 중요
Active Directory의 취약점으로 인한 권한 상승 문제점 (2630837)

다양한 악성코드들이 마이크로소프트의 윈도우 보안 취약점을 악용함으로 미리 보안 패치 설치를 통해 악성코드의 감염을 예방 하는 것이 좋다.

마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다.

마이크로소프트 업데이트 
저작자 표시
신고
Posted by 비회원
현지 시각 2011년 10월 18일 미국 보안 업체인 시만텍(Symantec)에서는 이란 원자력 발전소를 공격 대상으로한 스턱스넷(Stuxnet)의 변형인 Duqu 악성코드가 발견되었음 블로그 "W32.Duqu: The Precursor to the Next Stuxnet"를 통해 공개하였다.

그리고 Duqu에 대해 약 46 페이지의 분석 보고서 "W32.Duqu The precursor to the next Stuxnet" 를 공개하였다. 현재 해당 보고서는 현지 시각 2011년 11월 1일부로 1.3 버전으로 업데이트 되었다.

시만텍에서는 Duqu 악성코드를 분석하는 과정에서 2009년 발견되었던 스턱스넷 악성코드와 유사한 형태를 가지고 있으며, 동일 인물 또는 제작 그룹에 제작된 것으로 추정되고 있음을 밝히고 있다.

이번에 발견된 Duqu는 스턱스넷과 같이 산업 제어 시스템과 관련된 코드와 자체 전파 기능은 존재하지 않았다.  그러나 C&C(Command and Controal) 서버를 통해 원격 제어가 가능하며, 키로깅(Keylogging)을 통해 정보를 수집할 수 있는 기능이 존재한다. 그리고 시스템에 감염된지 36일이 지나면 자동 삭제하는 기능도 포함되어 있다.

최초에 배포된 분석 보고서에서는 Duqu의 감염 경로가 자세히 밝혀지지 않았으나 블로그 "Duqu: Status Updates Including Installer with Zero-Day Exploit Found"를 통해 아래 이미지와 같이 마이크로소프트 윈도우(Microsoft Windows)에 존재하는 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점을 악용한 것으로 밝혔다.


해당 제로 데이 취약점은 마이크로소프트 워드(Microsoft Word) 파일을 이용한 윈도우 커널(Windows Kernel) 관련 취약점으로 윈도우의 Win32k 트루타입 폰트 파싱 엔진(TrueType font parsing engine)에 존재하며 이로 인해 임의의 코드 실행이 가능하다.

현재 해당 취약점은 CVE-2011-3402로 마이크로소프트에서는 "Microsoft Security Advisory (2639658) Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege" 보안 권고문을 통해 자세하게 공개하였다.

그리고 추가적으로 마이크로소프트에서는 "Microsoft Security Advisory: Vulnerability in TrueType font parsing could allow elevation of privileges"를 통해 임시적으로 해당 취약점을 제거할 수 있는 Fix It 툴을 공개하였다.


현재 V3 제품군에서는 해당 Duqu 악성코드들을 다음의 진단명으로 진단하고 있다.

Win-Trojan/Duqu.6656
Win-Trojan/Duqu.68096
Win-Trojan/Duqu.24960.B 
Win-Trojan/Duqu.29568
Win-Trojan/Duqu.24960
Win-Trojan/Duqu
Win-Trojan/Agent.85504.HN 
Worm/Win32.Stuxnet 
 
해당 취약점은 보안 패치가 제공되지 않는 제로 데이 상태이며, 다른 악성코드나 보안 위협에서 해당 취약점을 악용할 가능성도 있음로 해당 Fix It을 통해 취약점을 제거하는 것이 중요하다.

그러나 해당 Fix It은 임시적인 방편임으로 향후 정식 보안 패치가 배포 될 경우에는 해당 보안 패치를 설치하는 것이 필요하다. 
저작자 표시
신고
Posted by 비회원
마이크로소프트(Microsoft)에서 2011년 8월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2011년 9월 14일 배포하였다.

이번에 마이크로소프트에서 배포된 보안 패치들은 총 5건으로 다음과 같다.

Microsoft Security Bulletin MS11-070 - 중요

Microsoft Security Bulletin MS11-071 - 중요

Microsoft Security Bulletin MS11-072 - 중요

다양한 악성코드들이 마이크로소프트의 윈도우 보안 취약점을 악용함으로 미리 보안 패치 설치를 통해 악성코드의 감염을 예방 하는 것이 좋다.

마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다.


저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC
최근 아래 화면과 같은 창이 나타나며 해당 창 외에 어떠한 창도 나타나지 않아 시스템 사용을 불능에 빠뜨리는 악성코드가 발견되었습니다.


현재 V3 제품에서 Win-Trojan/Dsaex.169472 진단명으로 치료가 가능하나 이미 감염이 되어 조치가 불가능한 사용자는 아래 안내해 드리는 방법대로 조치하시기 바랍니다.

1. 우선 아래 게시물을 참고하여 안전모드로 부팅을 합니다.
안전모드로 부팅하기 : http://core.ahnlab.com/53

2. V3 제품이 설치되어 있으시다면 스마트 업데이트를 통해 업데이트 하신 후 검사 및 치료를 하시기 바랍니다. 만약 V3 제품이 설치되어 있지 않으시다면 아래 사이트에서 V3 제품을 다운로드 하여 설치하신 후 역시 엔진을 최신버젼으로 업데이트 하시고 검사 및 치료를 해보시기 바랍니다.

V3 Lite 다운로드 : http://v3lite.co.kr/main.do

3. 검사를 하면  Win-Trojan/Dsaex.169472 진단명으로 진단되는 파일이 있을 것입니다. 해당 파일을 치료 후 시스템을 재부팅 합니다.


만약 V3 제품군을 구매하지 않은 기입 및 관공서의 경우 V3 Lite를 사용하는 것은 불법이므로 아래 안내해 드리는 수동 조치 방법을 참고하여 조치하시기 바랍니다.

1. 우선 아래 게시물을 참고하여 안전모드로 부팅을 합니다.
안전모드로 부팅하기 : http://core.ahnlab.com/53

2. GMER을 다운로드 합니다.
GMER 다운로드 : http://www2.gmer.net/gmer.zip

3. GMER 실행 후 [>>>] 부분을 클릭 합니다.



4. 클릭 나타나는 항목 중 [File] 탭을 클릭 합니다.



5. [File] 탭을 클릭하여 아래 파일을 찾아 우측에 [Delete] 버튼을 눌러 삭제 합니다.
C:\Windows\mfo.exe



6. 마지막으로 시스템을 재부팅 합니다.


신고
Posted by 비회원