태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

티스토리 툴바

Daum
Tistory
로그인
신종악성코드정보2010/07/18 12:37

"W32.Temphid", "Stuxnet" 진단명 등의 Windows Shell Zero-Day 취약점 악성코드 주의



마이크로 소프트사의 윈도우 운영체제에서 자동으로 악성코드에 감염되도록 유도를 하기 위한 LNK(바로가기, 단축아이콘, ShortCut) 취약점이 발견되었으며, 실제 악성코드에 적용되어 유포 중에 있습니다.

http://www.microsoft.com/technet/security/advisory/2286198.mspx

http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99&tabid=2

http://www.sophos.com/security/analyses/viruses-and-spyware/trojstuxneta.html

http://www.avira.de/en/threats/section/fulldetails/id_vir/5318/rkit_stuxnet.a.html

http://www.securelist.com/en/blog/269/Myrtus_and_Guava_Episode_1

http://hauri.co.kr/customer/security/alert_view.html?intSeq=56&page=1

□ 임시 대응방안

- 취약점 공격에 사용될 수 있는 레지스트리 키 값을 공백으로 변경하거나, WebClient 서비스를 정지함.

 

1. 레지스트리 편집기를 이용한 방법

- 시작-> 실행에 regedit를 입력하여 레지스트리 편집기를 실행함

- 레지스트리 편집기를 열어 다음의 레지스트리 키 경로로 이동

HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

- 레지스트리 편집기에서 파일->내보내기 선택

- 파일 이름을 LNK_Icon_Backup.reg로 지정하고 레지스트리 키 백업

- 해당 레지스트리 레지스트리 키 데이터 값을 제거하여 공백으로 설정

- 인터넷 익스플로러 또는 윈도우 재시작

 

2. WebClient 서비스를 정지하는 방법

- 시작-> 실행에 Services.msc 를 입력하여 서비스 관리 프로그램 실행

- WebClient 서비스를 선택하고 마우스 오른쪽 버튼을 눌러 속성 메뉴를 선택

- 일반 탭에서 WebClient 시작 유형을 "자동"에서 "사용안함"으로 변경

  (서비스가 동작 중일 경우 "중지" 버튼 클릭으로 서비스 중지)

- 서비스 관리 프로그램 종료


출처 : 하우리



사용자 삽입 이미지

주요 공격 타겟은 USB 드라이브와 같은 이동식 저장 매체가 될 것으로 보여집니다.

현재 변종 악성코드가 지속적으로 발견되고 있사오니, Anti-Virus 제품을 항상 최신 버전으로 업데이트하시는 것이 필요할 듯 싶습니다.

다수의 보안 제품이 최근 발견되고 있는 악성코드를 다음과 같이 진단하고 있습니다.

http://www.virustotal.com/analisis/728efa79d178f6873893a00ff3e935f600ed396f7567f24f6d3f6f982dd97445-1279405320

Antivirus Version Last Update Result
a-squared 5.0.0.31 2010.07.17 Trojan-Dropper.Win32.Stuxnet!IK
AhnLab-V3 2010.07.17.00 2010.07.16 Win-Trojan/Stuxnet.517632
AntiVir 8.2.4.12 2010.07.16 -
Antiy-AVL 2.0.3.7 2010.07.15 -
Authentium 5.2.0.5 2010.07.17 -
Avast 4.8.1351.0 2010.07.17 Win32:Malware-gen
Avast5 5.0.332.0 2010.07.17 Win32:Malware-gen
AVG 9.0.0.836 2010.07.17 Dropper.Generic2.YQQ
BitDefender 7.2 2010.07.18 Win32.Worm.Stuxnet.A
CAT-QuickHeal 11.00 2010.07.16 -
ClamAV 0.96.0.3-git 2010.07.17 Trojan.Stuxnet
Comodo 5460 2010.07.17 -
DrWeb 5.0.2.03300 2010.07.17 Trojan.Stuxnet.1
eSafe 7.0.17.0 2010.07.15 -
eTrust-Vet 36.1.7715 2010.07.16 Win32/Stuxnet.A
F-Prot 4.6.1.107 2010.07.17 -
F-Secure 9.0.15370.0 2010.07.17 Trojan-Dropper:W32/Stuxnet.A
Fortinet 4.1.143.0 2010.07.17 -
GData 21 2010.07.17 Win32.Worm.Stuxnet.A
Ikarus T3.1.1.84.0 2010.07.17 Trojan-Dropper.Win32.Stuxnet
Jiangmin 13.0.900 2010.07.17 TrojanDropper.Stuxnet.a
Kaspersky 7.0.0.125 2010.07.17 Trojan-Dropper.Win32.Stuxnet.a
McAfee 5.400.0.1158 2010.07.17 Stuxnet
McAfee-GW-Edition 2010.1 2010.07.16 -
Microsoft 1.6004 2010.07.17 TrojanDropper:Win32/Stuxnet.A
NOD32 5287 2010.07.17 a variant of Win32/Stuxnet.A
Norman 6.05.11 2010.07.17 W32/Stuxnet.A
nProtect 2010-07-17.02 2010.07.17 Win32.Worm.Stuxnet.A
Panda 10.0.2.7 2010.07.17 Rootkit/Inject.IW
PCTools 7.0.3.5 2010.07.17 Malware.Temphid
Prevx 3.0 2010.07.18 -
Rising 22.56.04.04 2010.07.16 -
Sophos 4.55.0 2010.07.17 Troj/Stuxnet-A
Sunbelt 6598 2010.07.17 -
SUPERAntiSpyware 4.40.0.1006 2010.07.17 Trojan.Agent/Gen-NumTemp
Symantec 20101.1.1.7 2010.07.17 W32.Temphid
TheHacker 6.5.2.1.318 2010.07.16 -
TrendMicro 9.120.0.1004 2010.07.17 WORM_STUXNET.SM
TrendMicro-HouseCall 9.120.0.1004 2010.07.18 WORM_STUXNET.SM
VBA32 3.12.12.6 2010.07.16 Trojan-Spy.0485
ViRobot 2010.7.12.3932 2010.07.17 -
VirusBuster 5.0.27.0 2010.07.17 -
Additional information
File size: 517632 bytes
MD5   : a0737a3d621409ebfb48ae07c51995a8




Posted by viruslab
TAG , ,
Trackback 2 Comment 1