MIDI 원격코드 취약점을 이용한 악성파일이 국내에서도 전파 중에 있으므로, 다음과 같은 내용을 참고하여, 사전에 대비하도록 하여야 하며, 최신 보안 업데이트를 통해서 취약점에 노출되지 않도록 하는 노력이 절실히 필요하다.
2. 취약점 정보
악의적인 공격자에 의해서 특수하게 조작된 미디어 파일이 실행되면 원격 코드 실행이 허용되며, 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있게 된다.
Microsoft Windows Media Could Allow Remote Code Execution
☞ http://www.iss.net/threats/442.html
Windows Media의 취약점으로 인한 원격 코드 실행 문제점
☞ http://technet.microsoft.com/ko-kr/security/bulletin/MS12-004
Malware Leveraging MIDI Remote Code Execution Vulnerability Found
☞ http://blog.trendmicro.com/malware-leveraging-midi-remote-code-execution-vulnerability-found/
영향을 받는 소프트웨어 목록은 다음과 같다.
- Windows XP Media Center Edition 2005 SP3 Windows Multimedia Library
- Windows XP Media Center Edition 2005 SP3 Windows Multimedia Library and Directshow
- Windows XP Professional x64 Edition SP2 Windows Multimedia Library and DirectShow
- Windows Server 2003 SP2 Windows Multimedia Library and DirectShow
- Windows Server 2003 x64 Edition SP2 Windows Multimedia Library and DirectShow
- Windows Server 2003 with SP2 for Itanium-based Systems Windows Multimedia Library and DirectShow
- Windows Vista SP2 Windows Multimedia Library and DirectShow
- Windows Vista x64 Edition SP2 Windows Multimedia Library and DirectShow
- Windows Server 2008 for 32-bit Systems SP2 Windows Multimedia Library and DirectShow
- Windows Server 2008 for x64-based Systems SP2 Windows Multimedia Library and DirectShow
- Windows Server 2008 for Itanium-based Systems SP2 Windows Multimedia Library and DirectShow
- Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems SP1 DirectShow
- Windows 7 for x64-based Systems and Windows 7 for x64-based Systems SP1 DirectShow
- Windows Server 2008 R2 for x64-based Systems DirectShow
- Windows Server 2008 R2 for x64-based Systems SP1 DirectShow
- Windows Server 2008 R2 for Itanium-based Systems DirectShow
- Windows Server 2008 R2 for Itanium-based Systems SP1 DirectShow
3. MIDI 취약점을 이용한 악성파일
MIDI 취약점을 이용한 악성파일은 특정 웹 사이트에 등록된 "mp.html" 이름의 파일을 통해서 처음 발견되었다.
mp.html 파일명은 Media Player 약어로 추정되며, 내부에는 MIDI 취약점을 이용한 baby.mid 파일을 오브젝트 명령을 통해서 실행하도록 구성되어 있다.
또한 i.js 이름의 JScript 파일을 이용해서 ActiveXObject 코드를 실행하며 그외 Java Script 등을 통해서 별도의 Shell Code 값들이 실행되도록 만든다.
아울러 baby.mid 파일이 로딩되면 일본 애니메이션인 "토토로" 주제가가 실제로 재생된다. 따라서 음량 조절에 따라 배경음악이 나오면서 악성파일에 감염되는 과정이 진행된다.
보안 취약점에 의해서 암호화된 Shell Code 값이 실행되면 특정 웹 사이트에 등록되어 있는 tdc.exe 라는 파일이 다운로드되고, XOR 복호화 과정 등을 거친 후에 악성파일이 실행된다.
tdc.exe 악성파일이 실행되면 특정 웹 사이트에 등록되어 있는 "20120120.exe" 라는 이름의 또 다른 악성파일을 추가로 설치시도한다.
nProtect AVS3.0 제품에서는 다음과 같이 진단 치료가 가능하다.
4. 예방 조치 방법
위와 같은 악성파일은 최신 보안 취약점을 이용해서 불특정 다수를 대상으로 유포하는 악성파일 형태이다. 이러한 종류의 악성파일에 감염되지 않도록 예방하기 위해서는 최신 보안 업데이트가 중요하다.
2012년 01월 정기 보안 업데이트 권고
http://erteam.nprotect.com/241
또한, 악성파일 유포에 자주 사용되는 Flash Player 취약점, JAVA(JRE) 취약점을 보완하기 위해서 다음과 같은 사이트에서 항상 최신 버전을 설치하고 사용하도록 한다.
http://download.macromedia.com/pub/flashplayer/current/install_flash_player_ax_32bit.exe
http://get.adobe.com/kr/flashplayer
- Java(JRE) 최신 버전 다운로드
http://javadl.sun.com/webapps/download/AutoDL?BundleId=58124
http://www.java.com/ko
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 위와 같은 악성파일에 대해 신종 및 변종 모두 진단/치료가 가능한 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [주의]일본 국토교통부 산하 국토지리원 표적 공격형 악성파일 발견 (0) | 2012.03.06 |
|---|---|
| [주의]페이스북 채팅창을 이용한 악성파일 유포 시도 (0) | 2012.02.24 |
| [주의]버전(version.dll)파일을 교체하는 악성파일 출현 (2) | 2012.01.18 |
| [주의]일본 음란 사이트에서 배포 중인 안드로이드 악성파일 발견 (2) | 2012.01.10 |
| [주의]안드로이드 기반 악성파일 국내 자료실에서 배포 (#Update 06) (4) | 2012.01.06 |