분석 정보/악성코드 분석 정보

[주의]새로운 Internet Explorer Zero-Day 취약점 발견

TACHYON & ISARC 2012. 9. 18. 11:09
1. 개요


2012년 09월 14일 이탈리아의 특정 사이트에서 마이크로소프트사의 웹 브라우저인 인터넷 익스플로러(Internet Explorer) 제품에서 악성파일 유포 등에 악용될 수 있는 새로운 Zero-Day 취약점 코드가 발견되었다. Zero-Day Exploit 코드는 아직 공식적인 보안패치가 발표되지 않은 취약점을 이용하는 악성파일로서 짧은 시간에 파급효과가 커질 수 있는 위험성을 가지고 있으므로, 용자들의 각별한 주의가 요구된다. 마이크로 소프트사는 현재 해당 취약점을 분석하고 있는 것으로 알려져 있다. 악성파일들은 이탈리아의 겨울용품 사이트에서 처음 보고되었으며, 현재는 Exploit Code 파일들은 모두 제거된 상황이다. 또한, 국내에서는 해당 이탈리아 사이트 접속 자체가 차단 조치된 상태이다.



2. 악성파일 정보

이번에 보고된 IE 0-Day 기능을 가진 악성파일은 이탈리아의 겨울용품 사이트의 특정 경로에 등록된 상태로 처음 발견되었다.

2012년 09월 14일에 악성파일들이 등록되었으며, 09월 16일에 악성파일들이 제거되었다. 현재는 exp.txt 파일만 등록되어 있는 상태이다.



보고된 악성파일들의 바이러스토탈 진단현황은 다음과 같다.

[exploit.html]
https://www.virustotal.com/file/9d66323794d493a1deaab66e36d36a820d814ee4dd50d64cddf039c2a06463a5/analysis/

[Moh2010.swf]
https://www.virustotal.com/file/70f6a2c2976248221c251d9965ff2313bc0ed0aebb098513d76de6d8396a7125/analysis/

[Protect.html]
https://www.virustotal.com/file/2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265/analysis/

[111.exe]
https://www.virustotal.com/file/85ad20e922f5e9d497ec06ff8db5af81fbdcbb6e8e63dc426b8faf40d5cc32c6/analysis/

"exploit.html" 파일은 Moh2010.swf 플래시 파일을 실행하게 되는데, Moh2010.swf 파일은 DoSWF(http://www.doswf.com/) 프로그램으로 플래시 파일이 암호화되어 있고, 내부에는 아이프레임 스크립트 명령어를 통해서 "Protect.html" 파일이 실행되도록 구성되어 있다.



"Protect.html" 파일은 인터넷 익스플로러 버전 7과 8 을 타깃으로 작동하며, 추후 "111.exe" 파일을 설치시도한다. "111.exe" 파일은 일부분이 XOR 연산방식으로 암호화되어 있다.



"111.exe" 파일이 실행되면 시스템폴더 경로에 "mspmsnsv.dll" 이름의 악성파일을 추가로 설치하고, 특정 호스트로 접속을 시도한다.

3. 마무리


잉카인터넷 대응팀은 새로운 IE Zero-Day 취약점용 악성파일에 대한 보안 모니터링을 강화하는 한편 이용자들의 피해를 최소화하기 위해서 유관 보안위협에 대한 이상징후를 예의주시하고 있다.

새롭게 유포되는 악성파일 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.

위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://avs.nprotect.com/