본문 바로가기
신종악성코드정보

"W32.Temphid", "Stuxnet" 진단명 등의 Windows Shell Zero-Day 취약점 악성코드 주의

by viruslab 2010. 7. 18.
마이크로 소프트사의 윈도우 운영체제에서 자동으로 악성코드에 감염되도록 유도를 하기 위한 LNK(바로가기, 단축아이콘, ShortCut) 취약점이 발견되었으며, 실제 악성코드에 적용되어 유포 중에 있습니다.

http://www.microsoft.com/technet/security/advisory/2286198.mspx


http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99&tabid=2

http://www.sophos.com/security/analyses/viruses-and-spyware/trojstuxneta.html

http://www.avira.de/en/threats/section/fulldetails/id_vir/5318/rkit_stuxnet.a.html

http://www.securelist.com/en/blog/269/Myrtus_and_Guava_Episode_1

http://hauri.co.kr/customer/security/alert_view.html?intSeq=56&page=1

□ 임시 대응방안

- 취약점 공격에 사용될 수 있는 레지스트리 키 값을 공백으로 변경하거나, WebClient 서비스를 정지함.

 

1. 레지스트리 편집기를 이용한 방법

- 시작-> 실행에 regedit를 입력하여 레지스트리 편집기를 실행함

- 레지스트리 편집기를 열어 다음의 레지스트리 키 경로로 이동

HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

- 레지스트리 편집기에서 파일->내보내기 선택

- 파일 이름을 LNK_Icon_Backup.reg로 지정하고 레지스트리 키 백업

- 해당 레지스트리 레지스트리 키 데이터 값을 제거하여 공백으로 설정

- 인터넷 익스플로러 또는 윈도우 재시작

 

2. WebClient 서비스를 정지하는 방법

- 시작-> 실행에 Services.msc 를 입력하여 서비스 관리 프로그램 실행

- WebClient 서비스를 선택하고 마우스 오른쪽 버튼을 눌러 속성 메뉴를 선택

- 일반 탭에서 WebClient 시작 유형을 "자동"에서 "사용안함"으로 변경

  (서비스가 동작 중일 경우 "중지" 버튼 클릭으로 서비스 중지)

- 서비스 관리 프로그램 종료


출처 : 하우리



사용자 삽입 이미지

주요 공격 타겟은 USB 드라이브와 같은 이동식 저장 매체가 될 것으로 보여집니다.

현재 변종 악성코드가 지속적으로 발견되고 있사오니, Anti-Virus 제품을 항상 최신 버전으로 업데이트하시는 것이 필요할 듯 싶습니다.

다수의 보안 제품이 최근 발견되고 있는 악성코드를 다음과 같이 진단하고 있습니다.

http://www.virustotal.com/analisis/728efa79d178f6873893a00ff3e935f600ed396f7567f24f6d3f6f982dd97445-1279405320

Antivirus Version Last Update Result
a-squared 5.0.0.31 2010.07.17 Trojan-Dropper.Win32.Stuxnet!IK
AhnLab-V3 2010.07.17.00 2010.07.16 Win-Trojan/Stuxnet.517632
AntiVir 8.2.4.12 2010.07.16 -
Antiy-AVL 2.0.3.7 2010.07.15 -
Authentium 5.2.0.5 2010.07.17 -
Avast 4.8.1351.0 2010.07.17 Win32:Malware-gen
Avast5 5.0.332.0 2010.07.17 Win32:Malware-gen
AVG 9.0.0.836 2010.07.17 Dropper.Generic2.YQQ
BitDefender 7.2 2010.07.18 Win32.Worm.Stuxnet.A
CAT-QuickHeal 11.00 2010.07.16 -
ClamAV 0.96.0.3-git 2010.07.17 Trojan.Stuxnet
Comodo 5460 2010.07.17 -
DrWeb 5.0.2.03300 2010.07.17 Trojan.Stuxnet.1
eSafe 7.0.17.0 2010.07.15 -
eTrust-Vet 36.1.7715 2010.07.16 Win32/Stuxnet.A
F-Prot 4.6.1.107 2010.07.17 -
F-Secure 9.0.15370.0 2010.07.17 Trojan-Dropper:W32/Stuxnet.A
Fortinet 4.1.143.0 2010.07.17 -
GData 21 2010.07.17 Win32.Worm.Stuxnet.A
Ikarus T3.1.1.84.0 2010.07.17 Trojan-Dropper.Win32.Stuxnet
Jiangmin 13.0.900 2010.07.17 TrojanDropper.Stuxnet.a
Kaspersky 7.0.0.125 2010.07.17 Trojan-Dropper.Win32.Stuxnet.a
McAfee 5.400.0.1158 2010.07.17 Stuxnet
McAfee-GW-Edition 2010.1 2010.07.16 -
Microsoft 1.6004 2010.07.17 TrojanDropper:Win32/Stuxnet.A
NOD32 5287 2010.07.17 a variant of Win32/Stuxnet.A
Norman 6.05.11 2010.07.17 W32/Stuxnet.A
nProtect 2010-07-17.02 2010.07.17 Win32.Worm.Stuxnet.A
Panda 10.0.2.7 2010.07.17 Rootkit/Inject.IW
PCTools 7.0.3.5 2010.07.17 Malware.Temphid
Prevx 3.0 2010.07.18 -
Rising 22.56.04.04 2010.07.16 -
Sophos 4.55.0 2010.07.17 Troj/Stuxnet-A
Sunbelt 6598 2010.07.17 -
SUPERAntiSpyware 4.40.0.1006 2010.07.17 Trojan.Agent/Gen-NumTemp
Symantec 20101.1.1.7 2010.07.17 W32.Temphid
TheHacker 6.5.2.1.318 2010.07.16 -
TrendMicro 9.120.0.1004 2010.07.17 WORM_STUXNET.SM
TrendMicro-HouseCall 9.120.0.1004 2010.07.18 WORM_STUXNET.SM
VBA32 3.12.12.6 2010.07.16 Trojan-Spy.0485
ViRobot 2010.7.12.3932 2010.07.17 -
VirusBuster 5.0.27.0 2010.07.17 -
Additional information
File size: 517632 bytes
MD5   : a0737a3d621409ebfb48ae07c51995a8




태그

, ,

댓글1