1. 개요
※ Adobe CVE-2011-0611 Security Bulletin & Common Vulnerabilities Application Programs
2. 감염 방식 및 감염 증상
현재 해당 악성파일은 "Disentangling Industrial Policy and Competition Policy.doc" 란 파일명으로 되어진 이메일의 첨부 파일과 같은 MS Office의 DOC 파일 형식으로 되어있으며, 문서파일 내부에는 Flash(SWF)파일이 포함되어져 동작하는 것으로 확인 되어 졌다.
아래의 그림은 첨부파일에 포함 되어진 DOC 문서파일 이며, 또 다른 파일명으로 언제든지 유포가 가능할 것으로 추정되어 진다.
문서파일을 실행하게 되면 "Disentangling Industrial Policy and Competition Plicy in China" 라는 제목이 포함되어진 문서내용을 일부 확인할 수 있다.
※ 정상 mspmsnsv.dll 과 악성 mspmsnsv.dll 파일 비교
3. 예방 조치 방법
이와 같은 악성파일로 부터 안전하기 위해서는 다음과 같은 사전 예방조치가 필요하다.
또한, Adobe 측에서는 CVE-2011-0611 취약점에 대한 Adobe Flash Player 보안 패치 적용은 조만간 업데이트 되어질 예정이며, Adobe Reader 및 Acrobat 제품에 대한 보안 패치 적용은 2011년 6월 14일경 업데이트 되어질 예정이다.
현재 이와같은 취약점으로 부터 발견되어진 악성파일과 관련하여 nProtect Anti-Virus 제품군에서는 모두 진단 치료가 가능하며, 잉카인터넷 대응팀에서는 지속적으로 발생 가능한 보안 위협에 대하여 상시 대응체계를 유지하고 있다.
※ nProtect Anti-Virus/Spyware 3.0 제품으로 진단한 화면
※ Adobe CVE-2011-0611 Security Bulletin & Common Vulnerabilities Application Programs
[Security Adisory for Adobe Flash Player, Adobe Reader and Acrobat]
http://www.adobe.com/support/security/advisories/apsa11-02.html
http://www.adobe.com/support/security/advisories/apsa11-02.html
2. 감염 방식 및 감염 증상
현재 해당 악성파일은 "Disentangling Industrial Policy and Competition Policy.doc" 란 파일명으로 되어진 이메일의 첨부 파일과 같은 MS Office의 DOC 파일 형식으로 되어있으며, 문서파일 내부에는 Flash(SWF)파일이 포함되어져 동작하는 것으로 확인 되어 졌다.
아래의 그림은 첨부파일에 포함 되어진 DOC 문서파일 이며, 또 다른 파일명으로 언제든지 유포가 가능할 것으로 추정되어 진다.
문서파일을 실행하게 되면 "Disentangling Industrial Policy and Competition Plicy in China" 라는 제목이 포함되어진 문서내용을 일부 확인할 수 있다.
취약점으로 인하여 실행되어진 악성파일은 다음과 같은 경로에 추가적인 악성파일을 생성하게 되며, 윈도우 시스템 정상 Dll 파일인 "mspmsnsv.dll" 파일을 악성 Dll 파일로 교체하게 된다.
C:\Document and Settings\사용자계정 폴더\Local Settings\Temp\svchost.exe (3,728 바이트)
C:\WINDOWS\System32\mspmsnsv.dll (8,704 바이트)
C:\WINDOWS\System32\mspmsnsv.dll (8,704 바이트)
※ 정상 mspmsnsv.dll 과 악성 mspmsnsv.dll 파일 비교
또한, 아래와 같은 파일을 추가적으로 생성하게 되며, 생성되어진 일부 파일은 사용자의 특정 시스템 프로세스 정보를 담고 있다.
3. 예방 조치 방법
이와 같은 악성파일로 부터 안전하기 위해서는 다음과 같은 사전 예방조치가 필요하다.
1. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 특정 웹 사이트를 통하여 다운로드 받아진 파일에 대하여 검증절차 없이 실행할 경우 주의를 기울이도록 한다.
2. 윈도우와 같은 OS 및 각종 응용프로그램에 대하여 최신 보안 패치를 적용하도록 한다.
3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 사용하도록 하며, 실시간 감시 기능을 "ON" 상태로 유지하도록 한다.
2. 윈도우와 같은 OS 및 각종 응용프로그램에 대하여 최신 보안 패치를 적용하도록 한다.
3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 사용하도록 하며, 실시간 감시 기능을 "ON" 상태로 유지하도록 한다.
또한, Adobe 측에서는 CVE-2011-0611 취약점에 대한 Adobe Flash Player 보안 패치 적용은 조만간 업데이트 되어질 예정이며, Adobe Reader 및 Acrobat 제품에 대한 보안 패치 적용은 2011년 6월 14일경 업데이트 되어질 예정이다.
현재 이와같은 취약점으로 부터 발견되어진 악성파일과 관련하여 nProtect Anti-Virus 제품군에서는 모두 진단 치료가 가능하며, 잉카인터넷 대응팀에서는 지속적으로 발생 가능한 보안 위협에 대하여 상시 대응체계를 유지하고 있다.
※ nProtect Anti-Virus/Spyware 3.0 제품으로 진단한 화면
'최신 보안 동향' 카테고리의 다른 글
| 웹 브라우저 취약점을 이용하여 유포되어지는 악성파일 주의 (0) | 2011.04.19 |
|---|---|
| imm32.dll 패치 악성파일의 진화는 어디까지....? (0) | 2011.04.14 |
| 해외 유명 백신 설치본으로 위장한 악성파일 발견 주의 필요 (1) | 2011.04.05 |
| 리비아 반정부 시위 사태 관련 정보제공 사이트, 악성파일 유포 주의 (0) | 2011.04.04 |
| 국내 유명 대기업의 노트북에서 발견된 키로거는 오진에 의한 것으로 판명 (4) | 2011.03.31 |