태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.28 10:15


마이크로 소프트사의 Lnk(바로가기, Shortcut) Zero-Day 취약점(패치 미발표)을 이용한 악성코드가 이번에는 마이크로 소프트사의 취약점 패치 파일로 위장하여 유포 된 것이 보고되었습니다.

해당 취약점을 이용한 악성코드가 관련 취약점 패치 파일로 위장한 어처구니 없는 위장 공격이네요!

이메일 내용은 다음과 같습니다.

제목 :
Microsoft Windows Security Advisory

내용 :
Hello, we are writing to you about a new Microsoft security advisory issue for Windows.
There is a new potentially dangerous software-worm, attacking Windows users
through an old bug when executing .ICO files. Although this is quite an old
way of infecting software, which first was used in 1982 with Elk Cloner
worm, the new technique the new worm is using is more complicated, thus the
speed and number of attacs has strongly increased.

Since you are the special Microsoft Windows user, there is a new patch
attached to this e-mail, which eliminates the possibility of having you
software infected.

How to install:
open an attached file "2286198.zip" with password "security"
install it to the base disk C:/ folder, so that the included files adres was "C:/lol.dll"

첨부파일 :
2286198.zip

첨부파일은 다음과 같이 "2286198.zip" 파일명을 가지고 있는데, 파일명에 사용된 2286198 번호는 실제 Lnk 취약점 번호 입니다.

http://microsoft.com/technet/security/advisory/2286198.mspx

첨부파일은 다음과 같은 압축파일로 구성되어 있으며, 암호화 압축이 되어 있는 상태입니다.
따라서 Virus Total 에서는 어떠한 제품도 진단할 수 없습니다.

http://www.virustotal.com/analisis/38d570a765f7fd7b1b92a76bf1fdfe7425e41dddd5081493eef975228470ae7d-1279917049

압축파일의 암호는 메일 본문에 포함되어 있으며, "security" 입니다.

사용자 삽입 이미지

내부에 포함되어 있는 dsafnegweje.lnk 파일이 바로 Lnk 0-day Exploit 파일이며, 바이러스 토탈에 등록되어 있는 Anti-Virus 제품들의 진단 현황은 다음과 같습니다.

http://www.virustotal.com/analisis/bbe8069f457c8cd3d1162419626da72b1041304c558a1be74cb3b553dbb29965-1280242380

lol.dll 파일은 악성 dll 파일이며, 바이러스 토탈 진단 현황은 다음과 같고, nProtect Anti-Virus 2010년 7월 28일 업데이트에 치료 기능을 추가할 예정입니다.

http://www.virustotal.com/analisis/40ca83cbf5f5125f559a438d2e3de3c9d4bd8ad3dfcc70e23e1f4d76f7c38750-1280279440

LNK 취약점을 통해서 지속적으로 악성코드가 유포 중이오니, 각별히 조심하셔야 겠습니다.



Posted by viruslab