반응형
안녕하세요?
이스트소프트 보안대응팀입니다.
윈도우의 쉘(Shell)에서 단축 아이콘(LNK; Shortcut) 파일을 처리하는 과정에 원격 코드가 실행될 수 있는 제로데이 취약점이 발견되었습니다.
현재 이번 취약점을 이용한 악성코드(알약 진단명 : Win32.Worm.Stuxnet.A)가 South East Asia 지역
(인도 및 인도네시아 이란 등)을 중심으로 유행하고 있으며, 국내에서도 악성코드 확산 위협이 높으므로 PC 사용자의 주의가 필요합니다.
<상세 정보>
해커가 조작한 악의적인 단축 아이콘(LNK) 파일에서 특정 프로그램을 실행시킬 수 있는 취약점이 존재하며
USB 이동식 디스크(USB 메모리)에 악성 LNK를 담아 악성코드가 유포될 수 있는 가능성이 높습니다.
이번 취약점이 대부분의 윈도우(XP, Vista, 7, 2008)에 해당되므로 임시 조치법을 반드시 PC에 적용하도록 합니다.
<임시 해결책>
※ 레지스트리 변경법 이나 WebClient 서비스 중지 방법 중에서 한 가지를 적용합니다.
* 레지스트리 변경 방법
① 윈도우 키 + R를 누르거나 윈도우 시작메뉴의 "실행"에서 regedit를 입력합니다.
② 레지스트리 편집기에서 HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler로 이동합니다.
③ 편집기의 "파일" -> "내보내기"를 선택해 레지스트리를 백업해둡니다. (파일 이름 예 : IconHandler.reg)
④ IconHandler의 레지스트리 값들을 삭제합니다.
⑤ 윈도우를 재시작합니다.
* WebClient Service 종료법
① 윈도우 키 + R를 누르거나 윈도우 시작메뉴의 "실행"에서 Services.msc를 입력합니다.
② WebClient 서비스에서 오른쪽 마우스 버튼을 눌러 "속성"에서 클릭합니다.
③ 시작 유형을 "사용 안함"으로 변경합니다.
<참고 사이트>
'IT 보안소식' 카테고리의 다른 글
| [SpamMail] "declined deposit report" 제목으로 전파 되는 메일 주의!! (0) | 2010.07.19 |
|---|---|
| 변조 된 imm32.dll파일에 추가된 "rs64 New Section" (0) | 2010.07.19 |
| MSN 메신저로 전파되는 피싱사이트 - "나는 현재 알몸이다!!" (0) | 2010.07.19 |
| 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생(2010-07-16) (2) | 2010.07.16 |
| [SpamMail] "Your order has been paid!" 제목으로 전파 되는 메일 주의!! (2) | 2010.07.15 |
댓글