반응형
몇일 전 마이크로 소프트 보안업데이트가 이루어졌으나 정작 중요한 IE 0-Day 취약점은 패치가 되지 않았다.
이를 노린 악성코드 제작자들이 주말을 틈타 슬금슬금 기어 나오기 시작했다. (이노무 스끼들~ 주말은 좀 쉬자!!)
금일까지 발견 된 IE 0-Day 취약점이 사용되는 변조사이트들 목록은 다음과 같다.
http://125.128.*.**/Multi/f/w3.js
http://125.128.*.**/Multi/f/w3.asp
→ http://www.robot***.com/cafe/help/box.exe (S.SPY.ZpInject)
http://125.128.*.**/Multi/f/ns.htm
http://125.128.*.**/Multi/f/test.htm (Exploit : CVE-2010-3962)
→ http://www.robot***.com/cafe/skin/page/mam.exe (S.SPY.ZpInject)
http://vod.skylo**.com/19/ns.htm
http://vod.skylo**.com/19/test.htm (Exploit : CVE-2010-3962)
→ http://www.robot***.com/cafe/skin/page/mam.exe (S.SPY.ZpInject)
http://share***.co.kr/main/main_html.html
http://yx240.***/js.js
http://cx369.***/index.htm (Exploit : CVE-2010-3962)
http://cx369.***/w.Js
→ http://gm.cx369.***/gmcx.exe (V.DRP.OnlineGames.imm)
- 파일정보
- man.exe, box.exe 두개의 파일은 Explorer.exe 프로세스에 핸들되어 동작하며, 온라인게임 및 사용자 정보를 가로챈다.
C:\WINDOWS\system32\(랜덤파일명).exe -> 스파이웨어
- gmcx.exe는 imm32.dll 을 변조하여 ole.dll을 실행시키고 온라인 게임 및 사용자 정보를 가로채고 보안프로그램을 종료시킨다.
C:\WINDOWS\system32\imm32.dll -> 변조 된 파일
C:\WINDOWS\system32\imm32.dll.log -> 정상파일이 백업 된 파일
C:\WINDOWS\system32\ole.dll -> 스파이웨어
IE 0-Day 취약점은 아직 보안패치가 이루어지지 않은 취약점이다.
따라서 사용자들은 보안프로그램을 항상 최신으로 유지하고, 실시감 감시를 On으로 켜두는 것을 항상 명심하길 바란다.
그리고 관리자분들 알고는 있을런지.... 모르고 계시다면 빠른 수정을 해주시기 바랍니다.
- 관련글
'IT 보안소식' 카테고리의 다른 글
| 이스트소프트(ESTsoft), 스마트폰 백신 '알약 안드로이드' 공개 (8) | 2010.11.29 |
|---|---|
| 비지니스 협력을 가장한 스팸메일 주의!! (2) | 2010.11.27 |
| 노벨평화상 초청장을 가장한 이메일에 첨부 된 PDF 분석 (2) | 2010.11.11 |
| 알약(ALYac), 노벨평화상 초청장을 가장한 이메일 주의 (0) | 2010.11.11 |
| 알약(ALYac), G20 이슈 문서를 위장한 이메일 주의 (0) | 2010.11.10 |
댓글