토렌토리엑터 웹 사이트 악성코드 유포 Posted By ASEC , 2011년 10월 21일 2009년 7월 1일 웹센스(WebSense)에서 많은 사람들이 사용하는 P2P(Peer to Peer) 프로그램인 토렌토(Torrent)의 검색 엔진 역할을 하는 토렌토리액터(Torrentreactor) 웹 사이트에서 악성코드를 유포 하였다고 한다. 웹센스의 보고에 따르면 이번에 발생한 악성코드 유포 사고는 기존에 알려진 취약점들인 인터넷 익스플로러에 존재하는 MS06-014 MDAC 코드 실행 취약점과 MS08-041 엑세스 스냅샷 뷰어 (Access Snapshot Viewer)의 코드 실행 취약점을 공격하는 스크립트 악성코드가 설치되어 있었다고 한다. 해당 스크립트 악성코드를 통해 취약점이 존재하는 웹 브라우저 사용자의 시스템으로 개인 정보를 유출 할 수 있는 트로이목마를 다운로드 한 후 실행 할 수 있도록 하였다고 한다. 조금 더 자세한 사항에 대해서는 아래 웹 사이트를 참고 하기 바란다. Torrentreactor Website compromised 이번에 토렌토리액터(Torrentreactor)를 통해 유포 되었던 트로이목마는 V3 제품군에서 다음과 같이 진단 한다. Win-Trojan/Waledoc.22528 이번과 같이 취약점이 존재하는 웹 브라우저를 통한 악성코드의 감염을…
중국의 유해 차단 소프트웨어 그린 댐 유스 에스코트 분석 Posted By ASEC , 2011년 10월 21일 2009년 6월 12일, 중국 정부에서는 자국내에서 판매되는 모든 컴퓨터 시스템에 유해 차단 소프트웨어인 그린 댐 유스 에스코트(Green Dam Youth Escort)를 의무적으로 설치하도록 하고 있다는 내외신 기사가 알려지면서 많은 의견들이 발표되고 이야기 되었다. 중국 필터링 SW, “반사상 사이트도 차단” 中 '유해사이트 차단 SW 의무화'에 비난 쏟아져 중국 웹 필터링 SW 반발 거세져 [외신] 美, 중국의 인터넷 필터링 의무화 철회 촉구 기사에 따르면 문제가 된 부분은 유해 차단 소프트웨어인 그린 댐 유스 에스코트는 설치된 시스템의 사용자를 온라인 상에 존재하는 성인물과 폭력물들로부터 보호 한다는 기본 취지외에도 중국 정부에서 반국가적 사상으로 금지한 법륜공과 같은 단어들을 차단어에 포함시키고 컴퓨터 시스템 사용자의 감시를 위한 목적으로 악용될 수 있다는 것이다. 이러한 문제가 존재하는 그린 댐 유스 에스코트 소프트웨어를 확보하여 테스트 및 분석을 통해 어떠한 부분이 문제가 되었는지…
ISC BIND 9 원격 서비스 거부 취약점 발견 Posted By ASEC , 2011년 10월 21일 2009년 7월 30일 ISC BIND 9 일부 버전에서 조작된 Dynamic Update 요청을 통해 서비스가 크래쉬될 수 있는 서비스 거부(Denial-of-Service) 취약점이 발견되었다. ISC BIND 9에서 지원되는 다이나믹 업데이트 (Dynamic Update) 기능은 BIND 8 버전 이후로 지원되며, Zone 파일의 레코드를 동적으로 갱신할 수 있는 기능이다. 해당 공격이 성공적으로 이루어지게 될 경우에는 BIND 데몬(Demon)이 크래쉬(Crash)되어 도메인 요청에 대한 정상적인 서비스를 지원할 수 없게된다. 현재 해당 취약점을 제거 할 수 있는 방안은 바인드9의 상위 버전인 BIND 9.6.1로 업그레이드 함으로써 해결 할 수 있다. 해당 취약점과 해결 방안에 대한 자세한 사항은 아래 ASEC 보안 권고문과 아래 웹 사이트들을 참고 하기 바란다. ASEC Advisory SA-2009-012 ISC BIND 9 “Dynamic Update” 요청을 통한 원격 서비스 거부 취약점 BIND 9 DoS attacks in the wild BIND Dynamic Update…
마이클 잭슨의 사망을 악용한 악성코드 유포 Posted By ASEC , 2011년 10월 21일 2009년 6월 26일 새벽 미국의 팝 가수 마이클 잭슨이 심장 마비로 사망하였다는 보도가 내외신 언론을 통해 알려지게 되었다. 이러한 사회적인 큰 이슈를 악의적인 스팸 메일 또는 악성코드에 악용 될 수 있으니 주의를 기울여야 한다는 이야기를 전한 바 있었다. 마이클 잭슨의 사망과 악성코드 마이클 잭슨이 심장 마비로 인해 사망한지 24시간이 지나지 않은 26일 21시경에 이를 악용한 악성코드 유포가 웹센스(Websens)에 의해 보고 되었다. Michael Jackson Death Prompts Malicious Spam 웹센스의 보고에 따르면 해당 악성코드는 아래 이미지와 같은 형태의 전자 메일을 통해서 유포 되었다고 한다. 악의적으로 유포된 해당 전자 메일은 마이클 잭슨의 사망 관련 동영상으로 유튜브에서 볼 수 있다고 되어 있으며 전자 메일 하단에 존재하는 웹 사이트 링크를 클릭할 경우 Michael.Jackson.videos.scr 파일을 다운로드 하게 된다. 다운로드한 해당 파일을 실행 할 경우 다시 다른…
대량 스팸메일 발송하는 커널 스팸 봇 전용백신 배포 Posted By ASEC , 2011년 10월 21일 ASEC에서는 2009년 5월 초부터 대량의 스팸메일을 발송하는 스팸봇(SpamBot) 형태의 악성코드 감염 증상에 대해 지속적인 문의를 접수 받았다. Win-Trojan/Rustock.Gen 전용백신 다운로드 ASEC에서 이러한 문의를 조사 및 분석하는 과정에서 특정 드라이버(.SYS) 파일을 생성하여 윈도우의 커널 모드(Kernel Mode)에서 파일 시스템 드라이버의 IRP(I/O Request Packet)를 조작하여 자신을 삭제하지 못하도록 하는 악성코드 형태로 파악되었다. 이러한 형태의 악성코드들은 일반적으로 대량의 스팸메일을 외부로 발송하는 기능으로 인해 윈도우 시스템과 네트워크가 비정상적으로 느려지는 현상을 발생시키기도 한다. 현재 발견된 이러한 형태의 악성코드들로는 다음을 들수가 있으며 ASEC에서 배포하는 이번 전용백신을 이용해 다음의 악성코드들을 진단 및 치료 할 수가 있다. 1. Win-Trojan/Rustock.Gen 2. Dropper/Rustock.Gen 3. Win-Trojan/Rustock 이번에 배포하는 해당 전용백신은 기존의 배포한 전용백신들과는 달리 다음의 특징을 가지고 있다. 1. 악성코드의 자기보호를 위해 생성한 커널 모드 스레드를 진단 및 치료 2. 은폐형 악성코드를…
