이른 새벽부터 기분이 아주 상큼하네요.
바이러스 관련 질문이 들어와 있어서 확인해 봤는데 국내 유명 웹하드 사이트가 변조되어 악성코드가 유포되고 있습니다. 이름만 들어도 아! 하고 아실만한 유명 웹하드 사이트입니다. 저는 분명히 유명백신을 사용하고 있고, 백신 업데이트 상태도 최신입니다. 그리고 백신이 공격을 차단했다고 알려주기까지 했는데 확인해보니 저도 고스란히 당했네요 ^^; AVKiller 기능 및 온라인 게임 계정 정보를 탈취하는 기능의 악성코드입니다. 해당사이트에 접속하기만 해도 감염됩니다.
새벽부터 상큼한 메시지
문의가 들어온 웹하드 사이트에 접속하자 백신이 침입시도를 알려줍니다.
메시지처럼 성공적으로 방어를 했는지 직접 확인해보니.. 말만 침입 시도 차단이지 실제로는 감염됬습니다 ㅠㅠ
제로데이 CVE-2010-3962
Internet Explorer의 "mshtml.dll" 모듈이 CSS의 “clip"속성을 처리하는 과정에서 유효하지 않은 객체를
참조함으로써 원격코드가 실행되는 Microsoft Internet Explorer 취약점으로 영향받는 시스템은
Internet Explorer 6 // Internet Explorer 7 // Internet Explorer 8 입니다.
공격자는 해당 사이트에 악성 iframe을 추가하여 Internet Explorer 접속자를 index.htm 파일에 포함된
CVE-2010-3962 취약점을 이용한 악성 스크립트를 통해 최종적으로 gmcx.exe를 실행시킵니다.
C:\WINDOWS\system32\imm32.dll - 변조된파일
C:\WINDOWS\system32\imm32.dll.log - 정상파일 백업
C:\WINDOWS\system32\ole.dl - 스파이웨어l
C:\WINDOWS\system32\imm32.dll.log - 정상파일 백업
C:\WINDOWS\system32\ole.dl - 스파이웨어l
imm32.dll 변조관련 조치는 안철수연구소의 조치 가이드 참고하시면 됩니다.
http://core.ahnlab.com/173
보안업데이트는 발표안해주나?
현재 알려진 제로데이 취약점만 몇개인데.. 보안업데이트를 왜 안해주는건지 모르겠네요
임시방편으로는 ..
http://support.microsoft.com/kb/2458511/en 접속하신 뒤
Microsoft Fix it 50556 클릭 하신뒤 설치하시면 됩니다.
원상복구 하는 방법은 Microsoft Fix it 50557 적용하시면 됩니다.
IE7 DEP 설정을 위해서는
Microsoft Fix it 50285 다운받으셔서 적용하시면 됩니다.
원상복구 하는 방법은 Microsoft Fix it 50286 적용하시면 됩니다.
검색해보니 해당 웹하드 사이트 외에도 다수의 사이트가 변조된것으로 확인됬습니다.
위의 gmcx.exe의 경우 유명한 악성코드라 대응 조치방법이 공개되 있지만
그렇지 않은 악성코드라면 문제가 될 것 같네요. 찾아내기 쉽지 않을 것 같습니다.
다들 백신업데이트 및 바이러스 검사 꼭! 해보시길 권장해드립니다.
손에익은 IE를 버리지 못하고 있었는데 이 기회에 크롬이나 사파리 등
다른 웹브라우저로 갈아타야겠습니다.