본문 바로가기
[긴급업데이트]Microsoft 보안업데이트(2010년08월03일) 현재 많은 감염자가 있는 것으로 파악되니, 최대한 빠르게 업데이트 하시길!! ※ 지난 7월 19일 공지한 “MS 윈도우 쉘 .lnk(바로가기) 취약점 주의"에 대한 MS 긴급 보안업데이트[MS10-046]가 발표되었으니, 조속히 패치하시기 바랍니다. [MS10-046] MS 윈도우 쉘 .lnk(바로가기) 취약점으로 인한 원격코드실행 문제 □ 영향 o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득 □ 설명 o 윈도우 운영체제에서 바로가기 아이콘에 설정된 내용을 처리하는 과정에서 임의의 코드가 실행되는 원격코드실행 취약점이 발생함 ※ 바로가기: 자주 사용하는 문서나 프로그램을 가장 편리한 장소에서 빠르게 사용하기 위해 바탕화면 등에 설치하는 작은 아이콘 o 공격자는 특수하게 조작된 바로가기 아이콘이 보.. 2010. 8. 3.
Lnk 취약점을 이용하는 Sality 감염 악성코드 분석 어제 포스팅 하였던 V.WOM.Sality.3.Gen과 관련이 있는지에 대해서는 아직까지 밝혀지지 않았지만, 아무래도 연관성이 있어 보인다. 조금 급조한 분석이지만, 차후 까먹을까봐 ㅠ_ㅠ 기록용으로 남겨둔당~~ - 드롭퍼 분석 1. 네트워크 공유폴더 접근 WnetOpenEnumA, WNetEnumResourceA API를 사용하여 네트워크 폴더에 접근한다. DWORD WNetOpenEnum( __in DWORD dwScope, __in DWORD dwType, __in DWORD dwUsage, __in LPNETRESOURCE lpNetResource, __out LPHANDLE lphEnum ); DWORD WNetEnumResource( __in HANDLE hEnum, __inout LPDWOR.. 2010. 7. 30.
Worm.Sality.3 감염코드가 포함 된 오토런 악성파일 주의!! 현재 많이 확인 되고 있는 내용 중 하나이다. Autorun.inf 를 이용하여 이동식디스크 전파가 가능하며, 감염 바이러스 Sality.3을 감염시키는 아주 못 된 녀석이다 ㅡㅡ;; 실행파일이 시작 되면 스레드(thread)를 생성하여 모든 프로세스에 주입시킨 후, C루트에 파일을 지속적으로 감시 및 생성한다. (스레드의 정적분석은 차후에 시간이 되면~ 하도록함 ㅎㅎ 요즘 너무 바쁨 ㅠ.ㅠ) 이 악성파일은 2가지의 특징을 가지고 있다. 1. 생성 되는 파일(exe, pif 확장자를 이용)이 모두 100KB(103,140 바이트)로 생성되는 특징이 있다. 2. PE파일 속 특이한 스트링을 담고있다.(Hello world! Caption) - 오토런도 안티바이러스의 탐지를 피하기 위해 가비지코드가 조금씩 .. 2010. 7. 28.
마이크로소프트(MicroSoft), Lnk File 0-Day에 대한 자료들 이번 Lnk 제로데이에 대한 내용들을 링크로 정리 해 둔다. 분석을 얼렁 끝내야 할텐데 ㅠ_ㅠ - 관련 링크 http://anti-virus.by/en/tempo.shtml http://www.securelist.com/en/blog/269/Myrtus_and_Guava_Episode_1 http://www.securelist.com/en/blog/271/Myrtus_and_Guava_Episode_2 http://www.securelist.com/en/blog/272/Myrtus_and_Guava_Episode_3 http://www.securelist.com/en/blog/278/LNK_zero_day_the_fundamentals http://www.f-secure.com/weblog/archive.. 2010. 7. 28.
Bkis Global Task Force Blog, Lnk Exploit Analysis and Detect Tool 베트남 보안업체인 Bkis Internet Security 에서 이번 Lnk 취약점에 대해서 써 놓은 분석자료와 취약점을 확인해 주는 전용툴을 공개하였다. - Detailed description of Windows’ LNK Vulnerability http://blog.bkis.com/en/detailed-description-of-windows-lnk-vulnerability/ .lnk file is the format of the Windows’ shortcuts. The vulnerability recently found in this format actually lies in the way Windows processes the Control Panel shortcuts. Normally, th.. 2010. 7. 22.
알약(ALYac), 윈도우 쉘(Shell) 취약점으로 인한 원격코드 실행 문제점 안녕하세요? 이스트소프트 보안대응팀입니다. 윈도우의 쉘(Shell)에서 단축 아이콘(LNK; Shortcut) 파일을 처리하는 과정에 원격 코드가 실행될 수 있는 제로데이 취약점이 발견되었습니다. 현재 이번 취약점을 이용한 악성코드(알약 진단명 : Win32.Worm.Stuxnet.A)가 South East Asia 지역 (인도 및 인도네시아 이란 등)을 중심으로 유행하고 있으며, 국내에서도 악성코드 확산 위협이 높으므로 PC 사용자의 주의가 필요합니다. 해커가 조작한 악의적인 단축 아이콘(LNK) 파일에서 특정 프로그램을 실행시킬 수 있는 취약점이 존재하며 USB 이동식 디스크(USB 메모리)에 악성 LNK를 담아 악성코드가 유포될 수 있는 가능성이 높습니다. 이번 취약점이 대부분의 윈도우(XP, Vi.. 2010. 7. 19.