[고객공지] 새 보안취약점 이용한 트로이목마 등장

Notice2007.03.31

새로운 보안취약점을 이용한 트로이목마가 중국 등지에서 발견되어 마이크로소프트사의 긴급한 패치가 필요한 상황이다.

이번에 발견된 종류는 Animated Cursor 파일의 ‘Zero-Day Attack’이며, 아이콘 및 커서 형식 파일의 처리문제로 인한 원격코드 실행가능 취약점이다. 지금까지 URL 주소만 다른 3개의 샘플이 입수된 상황이다.

ANI 파일은 RIFF(Resource Interchange File Format) 형식으로 윈도우에서 멀티미디어 관련 데이터 등을 저장하기 위해 만들어진 파일 포맷으로 AVI, WAV 등의 미디어 파일에서도 다양하게 사용되고 있다.

㈜잉카인터넷 시큐리티대응센터 고동훈차장은 “현재 중국 쪽으로부터 발견된 트로이목마 2종은 정상적으로 다운로드 기능이 작동하고 있으며, Code 구조상 쉽게 변형되어 유포될 가능성이 매우 높은 편이다”며 “아직 마이크로소프트사로부터 보안패치가 발표되지 않았기 때문에 다양한 형태의 공격으로 발전될 수 있으므로 기존의 Zero-Day 공격 성향처럼 국내 사이트를 목표로 한 온라인 게임 계정 도용 공격과 결합될 가능성도 충분하다”고 분석했다.

악의적인 ANI 파일은 취약한 웹 사이트와 전자우편 메시지 등을 통해서 유포되며, 인터넷 사용자가 해당 웹 페이지나 사이트를 방문 시 Exploit 코드가 포함된 ANI 파일이 실행되고, 코드 내부에 포함하고 있는 URL에 의해 또 다른 악성코드를 사용자 몰래 설치하게 되는 방식을 이용하게 된다.

예시된 화면은 현재 상기 2종과 함께 발견된 JPG 파일의 또 다른 변종으로서 중국의 특정 사이트에서 유포 중인 화면과 JPG 그림파일로 위장하여 실행하도록 한 화면의 소스이다.

현재 마이크로소프트사에서는 다음과 같이 지난 29일자로 Security Advisory를 발표한 상태이다.

Microsoft Security Advisory (935423)
Vulnerability in Windows Animated Cursor Handling
www.microsoft.com/technet/security/advisory/935423.mspx

영향을 받는 운영체제는 아래와 같이 발표됐다.
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows Vista

발견된 ANI 파일로 인하여 다운로드가 시도되는 파일은 중국의 특정 사이트에 존재하며, Viking 변종 바이러스에 의해 파일이 감염된다.

이동혁 부장은 “이 취약점을 악용한 공격자는 또 다른 원격코드(Backdoor) 등을 사용하여 영향을 받는 운영체제에 대하여 완벽한 제어 권한을 획득할 수 있기 때문에, 신뢰할 수 없는 웹 사이트나 의심되는 전자우편이 수신될 경우 각별한 주의가 요구되며, 마이크로소프트사의 보안패치가 발표되면 신속하게 설치하는 것이 중요하다”고 밝혔다

- 출처 보안뉴스 -