뚜기의 S 톨이

지난 번 ws2help.dll 악성코드와 동일한 공격방식으로 분석이 아니라 자료를 남기고자 리포팅 한다.

<ws2help.dll 분석 리포트>   - 분석 리포트 보기

인터넷 서핑 중 악성코드에 감염되어 확인 결과
유포지가 우리나라 보안기업 홈페이지로 확인이 되었다.

대부분 영세한 기업의 홈페이지는 호스팅 업체에 맡기고 있으니 보안업체라고 다 보안이 되는건 아니지만
보안업체 홈페이지에서 유포되니.. 참.. 안타깝다.

악성코드 유포지는 다음과 같으며 아직 유포중인 관계로 * 처리를 하였다. (내 스딸이 아니긴 한데..ㅋ)

<악성코드 유포지>   http://do**.han****.co.kr/HanZip_Ins/info/ko.html   http://do**.han****.co.kr/HanZip_Ins/info/1.html   http://do**.han****.co.kr/HanZip_Ins/info/2.html   http://do**.han****.co.kr/HanZip_Ins/info/nb.js   http://do**.han****.co.kr/HanZip_Ins/info/2.js   http://do**.han****.co.kr/HanZip_Ins/info/nb6.swf   http://do**.han****.co.kr/HanZip_Ins/info/nb8.swf

각 악성코드 내용

- ko.html 소스 내용 - 1.html 소스내용 - 2.html 소스내용 - nb.js 소스내용 - 2.js 소스내용

보통 해커들은 자신이 만든 악성코드가 쉽게 발견되지 않도록 하기 위해서 난독화란 방식을 사용합니다.
이러한 방식을 사용하는 이유는 악성코드의 생명주기를 연장시켜 더 많은 감염자를 발생시키기 위함이죠..

웹 서핑을 하던 중 IP주소를 Base10 방식으로 변환 해도 웹 브라우저에서 인식 한다는 내용을 보고 테스트를 해 보았습니다.

우선 IP 주소가 있어야 하기 때문에 "nslookup" 명령어로 대상 사이트의 IP주소를 확인합니다.
테스트를 위하여 구글을 사용해보자. 검색하여 나온 IP는 다음과 같습니다.

- 74.125.153.99

여러개 있지만 하나만 확인해도 되니..

어쨌든, IP 주소를 확인 했으니 Base10 방식으로 변환 해보겠습니다.
계산 법은 다음과 같습니다.

- {74 * (256^3)} + {125 * (256^2)} + {153 * (256^1)} + {99 *  (256^0)} = ?

계산기로 계산 해보면 결과는
1,241,513,984 + 8,192,000 + 39,168 + 99 = 1249745251 입니다.
 
이를 주소창에 입력하면 끝.

http://1249745251

덤으로 hex 값으로 변환 시켜도 됩니다.

http://0x4A7D9963

** 참고로 아래 사이트에서 주소변환 서비스를 제공하고 있으니 시간이 없으신 분들은 바로 해보시면 좋으실거 같습니다.

https://ipaddressguide.com/ip

[기사원문보기]

많은 사람들이 매달 둘째 주 수요일 아침부터 분주하지 않을까 싶다(만약 그렇지 않다면 이제부터 바쁘게 보낼 필요가 있다!). 바로 정기 윈도우 업데이트가 발표되는 날이기 때문이다. 필자도 출근 후 회사에서 사용하는 3대의 컴퓨터에 윈도우 보안 업데이트를 적용하고 이후 가상환경에 설치한 윈도우도 보안 업데이트를 진행한다. 대략 10번 이상 업데이트를 진행하므로 매달 둘째 주 수요일은 오전 시간을 업데이트로 다 보내고 있다. 이렇게 보안 업데이트에 신경 쓰는 이유는 보안업데이트를 적용하지 않으면 취약점을 이용한 악성코드 공격 받을 가능성이 높기 때문이다. 여기까지는 보안에 관심 있는 일반적인 사용자들도 하는 일이다.

백신업체에서 악성코드 분석하는 업무를 하다 보니 수많은 보안사고를 접하고 있다. 세상에 믿을게 없다는 지독한(?) 불신을 가지면서 스스로 보다 안전한 컴퓨터 환경을 위해 ‘가상화’, ‘습관’, ‘고민’의 도움을 받고 있다.

재작년부터 ‘가상화’ 프로그램을 이용해 컴퓨터 안에 또 다른 컴퓨터 환경을 구축해 두었다. 가상환경은 ‘업무’, ‘인터넷 서핑’, ‘인터넷 뱅킹’, ‘웹하드’, ‘악성코드 분석’ 등으로 나눴다(이 글도 가상환경에서 작성 중이며 작성 문서는 네트워크 드라이브로 실제 시스템에 저장된다). 공격자 입장에서 보면 하나의 가상 환경 내 시스템을 장악할 수는 있어도 주요 정보가 있는 실제 컴퓨터나 다른 가상 컴퓨터를 또 장악해야 하므로 공격이 분명 더 어려워진다. 단, 여러 대의 가상환경을 돌릴 만큼 시스템 성능이 뒷받침 되어야 하므로 상대적으로 최신 시스템이 필요하다.

‘업무’ 환경은 회사 메일 확인과 문서 작업이 가능하게 해뒀고 인터넷 서핑 환경은 인터넷 서핑에필요한 플래쉬 플레이어와 PDF 뷰어 외에는 설치하지 않고 다른 프로그램은 필요할 때마다 설치하고 있다. 인터넷 서핑은 가상환경을 종료하면 이전 상태로 복원되도록 했다. 인터넷 뱅킹 역시 중요한 공인인증서가 보관되어 있으므로 별도로 구성해 두었고 최근 프로그램 업데이트를 통한(특히 웹하드) 악성코드 감염이 증가하고 있어 웹하드 역시 별도 환경으로 분리해 두었다.

실제 시스템에는 주요 악성코드 감염 경로인 문서 편집 프로그램, PDF 뷰어, 플래쉬 플레이어 등은 아예 설치 하지 않았다. 주요 자료는 실제 시스템에 보관해 혹시 가상환경 내 시스템이 악성코드에 감염되어도 접근할 수 없게 해 정보 유출 가능성을 최소화했다.

가상환경 구축만큼 중요한 건 사용 ‘습관’이 아닐까 싶다. 가상화를 구축해도 정작 하나의 가상환경에서 회사 업무도 보면서 인터넷 서핑도 하고 문서 작업도 한다면 악성코드 감염 가능성이 그만큼 높아진다. 따라서, 가상환경을 용도별로 잘 분류해서 해당 용도에만 사용하는 습관이 가상환경 구축만큼 중요하다(사실 가장 좋은 방법은 용도별로 물리적으로 컴퓨터를 분리하고 별도의 인터넷 선을 사용하는 방법이지만 현실적으로 쉽지 않다). 처음에는 다소 불편하지만 회사 메일 확인 등을 하는 업무 가상환경에서는 특별한 경우가 아니면 인터넷 서핑을 하지 않으며 외부에서 받은(회사 직원이 보낸 메일이라도) 문서도 열어보지 않는다. 이들 가상 환경은 윈도우 업데이트 될 때마다 이전 환경으로 복원 후 보안 업데이트를 진행한다. 한달 사이에 악성코드나 외부 침입이 있더라도 생존 기간은 한달 정도가 된다. 제품을 구매할 때도 보안을 고려해 얼마 전 해외 출장을 준비 할 때 애플 맥북 에어를 구매했다. 이전에 사용하던 노트북보다 가볍고 무엇보다 악성코드나 해킹의 가능성이 윈도우보다는 낮기 때문이다(가능성이 낮다는 얘기지 불가능하지는 않다). 윈도우가 꼭 필요한 상황일때는 역시 가상화를 이용하면 된다.

공격자들도 사용자 시스템을 장악하기 위해 여러 가지 방안을 마련하므로 최신 공격 방식을 파악하고 좀 더 효과적인 대응 방안을 ‘고민’하고 있다. 시스템 보안뿐 아니라 암호 역시 마찬가지이다. 언론을 통해 어려운 암호를 사용해야 한다고 계속 보도되고 있지만 아무리 어려운 암호도 동일하게 사용한다면 해킹된 다른 사이트를 통해 수집한 아이디와 암호를 대입하는 방식으로 쉽게 뚫릴 수 있다. 필자는 일반, 포털, 금융, 쇼핑 등으로 나눠서 암호를 다르게 사용했다. 하지만, 해킹 위협이 계속 증가하면서 요즘은 자신만의 알고리즘을 만들어 사이트마다 다르게 적용을 시도 하고 있다. 이제는 다른 암호뿐 아니라 용도별로 아이디를 다르게 구분할 예정이다.

하지만, 이렇게 보안에 신경을 쓴다고 해도 공격자가 공격할 수 있는 허점은 물론 존재한다. 가상환경을 구성하는 중간에 악성코드에 감염된다면 악성코드를 포함한 상태로 이미지가 만들어져 완벽한 보안이라고 할 수 없다. 어떤 가상환경을 사용하는지 알 수 있다면 가상환경 프로그램 자체의 취약점을 이용해 가상환경을 벗어나 실제 시스템으로 접근할 수 있다. 암호 역시 사이트마다 다르게 만들어도 일정한 규칙이 있다 보니 1-2개의 암호만 알아 낸다면 다른 암호도 비교적 쉽게 추정할 수 있다. 암호 알고리즘을 더 어렵게 만들어야겠지만 정작 본인이 기억 못할 수 있고 잦은 암호 변경은 자주 방문하지 않는 사이트의 비밀번호를 모르는 상황을 야기한다.

가상공간 아니면 인터넷을 사용하지 않으려는 필자를 보면 지나치게 건강을 걱정하는 ‘건강염려증’처럼 지나친 걱정이 아닐까 싶지만 이 정도는 기본으로 해야 하는 시대가 왔다고 생각된다. 나하나 때문에 자신의 회사 보안이 뚫릴 수 있다고 생각한다면 이런 ‘보안염려증’이 ‘보안불감증’보다 낫다는 믿음을 가지고 있다

[기사원문보기]


미국 중앙정보국(CIA)과 미 공영방송 PBS, 미 상원, 전자업체 소니 등의 웹사이트를 해킹한 해커집단 룰즈시큐리티(룰즈섹)의 지도자급으로 보이는 10대 해커가 20일 영국 경찰에 체포됐다. 4명가량으로 구성된 것으로 추정되는 룰즈섹의 멤버가 잡힌 것은 처음이다.

런던 경찰청은 21일 공식 성명을 통해 “경찰청 중앙사이버범죄 수사팀이 20일 밤 영국 서남부 에섹스 주 윅퍼드에서 19세 용의자를 체포해 조사 중”이라며 “방대한 증거자료를 확보해 과학수사를 펼치고 있다”고 밝혔다. 영국 일간 미러와 정보기술(IT) 전문 블로그들은 이 10대 용의자가 룰즈섹의 각종 해킹을 주도해 온 ‘지도자(mastermind)’라고 전했다. 용의자를 체포한 이후 룰즈섹의 트위터 계정에는 새로운 글이 올라오지 않고 있다.

10대 용의자 체포는 영국 경찰과 미 연방수사국(FBI)의 공조 수사로 이뤄졌다. 룰즈섹은 CIA 등 미국 주요 기관에 대한 해킹 공격 후 자신들에게 집중된 수사를 비웃듯 추가적인 해킹 공격을 공공연히 경고해 왔다.

20일엔 룰즈섹과 또 다른 해커집단 어나너머스가 세계 각국의 정부 및 주요 기관을 목표로 삼아 ‘연합공격’을 가하겠다고 밝혔다. 룰즈섹은 성명에서 “우리가 최우선 공격 목표로 삼은 것은 e메일 등 정부의 정보와 자료를 훔쳐내 퍼뜨리는 것”이라고 밝혔다. 주요 목표물은 은행과 주요 정부기관이라고 덧붙였다. 이들은 이날 영국의 중앙수사기관인 중대조직범죄청(SOCA) 웹사이트를 디도스(DDoS·분산 서비스 거부) 공격해 마비시켰다.

한편 미국 시사 주간지 포브스는 21일 영국 매체 더리지스터의 보도를 인용해 룰즈섹이 최근 10년 만에 이뤄진 영국의 인구주택총조사(센서스) 자료를 훔쳐낸 정황이 있다고 전했다.

[MS11-037] MHTML 취약점으로 인한 정보유출 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대한 정보 유출

□ 설명
  o 전자 메일 및 인스턴스 메신저 메시지 링크 등 특수하게 조작된 URL을 열었을 경우 정보 유출
     취약점이 존재
  o 관련취약점 :
    - MHTML MIME 형식의 요청 취약점(CVE-2011-1894)
  o 영향 : 정보 유출
  o 중요도 : 중요

□ 해당시스템
  o 영향 받는 소프트웨어
    - Windows XP 서비스 팩3
    - Windows XP Professional x64 Edition 서비스 팩2
    - Windows Server 2003 서비스 팩2
    - Windows Server 2003 x64 Edition 서비스 팩2
    - Windows Server 2003 서비스 팩2 Itanium
    - Windows Vista 서비스팩1, 서비스 팩2
    - Windows Vista x64 Edition 서비스 팩1, 2
    - Windows Server 2008 서비스 팩0, 2**
    - Windows Server 2008 64-bit 서비스팩0, 2**
    - Windows Server 2008 Itanium 서비스 팩0, 2
    - Windows 7 서비스 팩0, 1
    - Windows 7 64-bit 서비스 팩0, 1
    - Windows Server 2008 R2 64-bit 서비스 팩0, 1**
    - Windows Server 2008 R2 Itanium 서비스 팩0, 1**
 ※ **표시된 윈도우를 서버코어(Server Core)옵션으로 설치한 경우, 해당 취약점에 영향을 받지 않음

□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS11-037.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-037.mspx

[MS11-038] OLE 자동화의 취약점으로 인한 원격코드 실행 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명
  o 특수하게 조작된 윈도우 메타파일(WMF) 이미지가 포함된 웹 사이트 등을 방문할 경우 원격코드가
     실행될 수 있는 취약점이 존재
  o 관련취약점 :
    - OLE 자동화 언더플로 취약점(CVE-2011-0658)
  o 영향 : 원격 코드 실행
  o 중요도 : 긴급

□ 해당시스템
  o 영향 받는 소프트웨어
    - Windows XP 서비스 팩3
    - Windows XP Professional 64-bit 서비스 팩2
    - Windows Server 2003 서비스 팩2
    - Windows Server 2003 64-bit 서비스 팩2
    - Windows Server 2003 서비스 팩2 Itanium
    - Windows Vista SP1, 서비스 팩2
    - Windows Vista 64-bit 서비스 팩1, 2
    - Windows Server 2008 서비스 팩0, 2**
    - Windows Server 2008 64-bit 서비스 팩0, 2**
    - Windows Server 2008 Itanium 서비스 팩0, 2
    - Windows 7 서비스 팩0, 1
    - Windows 7 64-bit 서비스 팩0, 1
    - Windows Server 2008 R2 64-bit 서비스 팩0, 1**
    - Windows Server 2008 R2 Itanium 서비스 팩0, 1**
 ※ **표시된 윈도우를 서버코어(Server Core)옵션으로 설치한 경우, 해당 취약점에 영향을 받지 않음

□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS11-038.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-038.mspx

[MS11-039] .NET Framework 및 Microsoft Silverlight의 취약점으로 인한 원격 코드 실행 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명
  o 사용자가 XBAP(XAML 브라우저 응용 프로그램) 또는 Silverlight 응용 프로그램을 실행할 수 있는
     웹브라우저를 사용하여 특수하게 조작된 웹페이지를 방문할 경우 원격코드가 실행될 수 있는
     취약점이 존재
  o 관련취약점 :
    - .NET Framework 배열 오프셋 취약점(CVE-2011-0664)
  o 영향 : 원격 코드 실행
  o 중요도 : 긴급

□ 해당시스템
  o 영향 받는 소프트웨어

Microsoft Office 소프트웨어	- Microsoft InfoPath 2007 서비스 팩 2 - Microsoft InfoPath 2010 32-bit edition - Microsoft InfoPath 2010 64-bit edition
Microsoft SQL Server	- SQL Server 2005 서비스 팩 3, 4 - SQL Server 2005 64-bit Edition 서비스 팩 3, 4 - SQL Server 2005 Itanium 서비스 팩 3, 4 - SQL Server 2005 Express Edition 서비스 팩 3, 4 - 고급 서비스가 포함된 SQL Server 2005 Express    Edition 서비스 팩 3, 4 - SQL Server Management Studio Express(SSMSE)   2005 - SQL Server Management Studio Express(SSMSE)   2005 64-bit Edition - SQL Server 2008 32-bit 서비스 팩 1, 2 - SQL Server 2008 64-bit 서비스 팩 1, 2 - SQL Server 2008 Itanium 서비스 팩 1, 2 - SQL Server 2008 R2 64-bit - SQL Server 2008 R2 Itanium
개발자 도구	- Microsoft Visual Studio 2005 서비스 팩 1 - Microsoft Visual Studio 2008 서비스 팩 1 - Microsoft Visual Studio 2010

    - Mac에 설치된 Microsoft Silverlight 4
    - 모든 Microsoft Windows 클라이언트 릴리스에 설치된 Microsoft Silverlight 4
    - 모든 Microsoft Windows 서버 릴리스에 설치된 Microsoft Silverlight 4**
 ※ **표시된 윈도우를 서버코어(Server Core)옵션으로 설치한 경우, 해당 취약점에 영향을 받지 않음

  o 영향 받지 않는 소프트웨어
    - .NET Framework 1.1 서비스 팩 1
    - .NET Framework 3.0
    - .NET Framework 3.0 서비스 팩 1

□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS11-039.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-039.mspx

[MS11-040] Threat Management Gateway 방화벽 클라이언트의 취약점으로 인한 원격 코드 실행 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명
  o 공격자가 TMG방화벽 클라이언트가 사용되는 시스템에 특정 요청을 할 경우 원격코드가 실행될
     수 있는 취약점이 존재
  o 관련취약점 :
    - TMG 방화벽 클라이언트 메모리 손상 취약점(CVE-2011-1889)
  o 영향 : 원격 코드 실행
  o 중요도 : 긴급

□ 해당시스템
  o 영향 받는 소프트웨어
    - Microsoft Forefront Threat Management Gateway 2010 클라이언트

  o 영향 받지 않는 소프트웨어
    - Microsoft Internet Security and Acceleration Server 2004
    - Microsoft Internet Security and Acceleration Server 2006
    - Microsoft Forefront Threat Management Gateway, Medium Business Edition
 
□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS11-040.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-040.mspx

[MS11-041] Windows 커널 모드 드라이버의 취약점으로 인한 원격 코드 실행 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명
  o 사용자가 특수하게 조작된 OpenType 글꼴(OTF)이 포함된 웹사이트를 방문할 경우 원격코드가
     실행될 수 있는 취약점이 존재
  o 관련취약점 :
    - Win32k OTF 유효성 검사 취약점(CVE-2011-1873)
  o 영향 : 원격 코드 실행
  o 중요도 : 긴급

□ 해당시스템
  o 영향 받는 소프트웨어
    - Windows XP Professional 64-bit 서비스 팩 2
    - Windows Server 2003 64-bit 서비스 팩 2
    - Windows Server 2003 SP2 Itanium
    - Windows Vista 64-bit 서비스 팩 1, 2
    - Windows Server 2008 64-bit 서비스 팩 0, 2*
    - Windows Server 2008 Itanium 서비스 팩 0, 2
    - Windows 7 64-bit 서비스 팩 0, 1
    - Windows Server 2008 R2 64-bit 서비스 팩 0, 1*
    - Windows Server 2008 R2 Itanium 서비스 팩 0, 1
 ※ *표시된 윈도우를 서버코어(Server Core)옵션으로 설치한 경우, 해당 취약점에 영향을 받지 않음

  o 영향 받지 않는 소프트웨어
    - Windows XP 서비스 팩 3
    - Windows Server 2003 서비스 팩 2
    - Windows Vista 서비스 팩 1, 2
    - Windows Server 2008 서비스 팩 0, 2
    - Windows 7 서비스 팩 0, 1
 
□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS11-041.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-041.mspx

[MS11-042] 분산 파일 시스템의 취약점으로 인한 원격 코드 실행 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명
  o 공격자가 특수하게 조작된 DFS요청을 보낼 경우 원격코드가 실행될 수 있는 취약점이 존재
  o 관련취약점 :
    - DFS 메모리 손상 취약점(CVE-2011-1868)
    - DFS 참조 응답 취약점(CVE-2011-1869)
  o 영향 : 원격 코드 실행
  o 중요도 : 긴급

□ 해당시스템
  o 영향 받는 소프트웨어
    - Windows XP 서비스 팩 3
    - Windows XP Professional 64-bit 서비스 팩 2
    - Windows Server 2003 서비스 팩 2
    - Windows Server 2003 64-bit 서비스 팩 2
    - Windows Server 2003 SP2 Itanium
    - Windows Vista 서비스 팩 1, 2
    - Windows Vista 64-bit 서비스 팩 1, 2
    - Windows Server 2008 서비스 팩 0, 2*
    - Windows Server 2008 64-bit 서비스 팩 0, 2*
    - Windows Server 2008 Itanium 서비스 팩 0, 2
    - Windows 7 서비스 팩 0, 1
    - Windows 7 64-bit 서비스 팩 0, 1
    - Windows Server 2008 R2 64-bit 서비스 팩 0, 1*
    - Windows Server 2008 R2 Itanium 서비스 팩 0, 1
 ※ *표시된 윈도우를 서버코어(Server Core)옵션으로 설치한 경우, 해당 취약점에 영향을 받지 않음
 
□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS11-042.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-042.mspx

[MS11-043] SMB 클라이언트의 취약점으로 인한원격 코드 실행 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명
  o 공격자가 특수하게 조작된 SMB요청을 클라이언트로 보낼 경우 원격코드가 실행될 수 있는
     취약점이 존재
  o 관련취약점 :
    - SMB 응답 구문 분석 취약점(CVE-2011-1268)
  o 영향 : 원격 코드 실행
  o 중요도 : 긴급

□ 해당시스템
  o 영향 받는 소프트웨어
    - Windows XP 서비스 팩 3
    - Windows XP Professional 64-bit 서비스 팩 2
    - Windows Server 2003 서비스 팩 2
    - Windows Server 2003 64-bit 서비스 팩 2
    - Windows Server 2003 SP2 Itanium
    - Windows Vista 서비스 팩 1, 2
    - Windows Vista 64-bit 서비스 팩 1, 2
    - Windows Server 2008 서비스 팩 0, 2*
    - Windows Server 2008 64-bit 서비스 팩 0, 2*
    - Windows Server 2008 Itanium 서비스 팩 0, 2
    - Windows 7 서비스 팩 0, 1
    - Windows 7 64-bit 서비스 팩 0, 1
    - Windows Server 2008 R2 64-bit 서비스 팩 0, 1*
    - Windows Server 2008 R2 Itanium 서비스 팩 0, 1
 ※ *표시된 윈도우를 서버코어(Server Core)옵션으로 설치한 경우, 해당 취약점에 영향을 받지 않음
 
□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS11-043.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-043.mspx

[MS11-044] SMB .NET Framework의 취약점으로 인한원격 코드 실행 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명
  o 사용자가 XBAP(XAML 브라우저 응용 프로그램)을 실행할 수 있는 웹브라우저를 사용하여 특수
     하게 조작된 웹페이지를 방문할 경우 원격코드가 실행될 수 있는 취약점이 존재
  o 관련취약점 :
    - .NET Framework JIT 최적화 취약점(CVE-2011-1271)
  o 영향 : 원격 코드 실행
  o 중요도 : 긴급

□ 해당시스템
  o 영향 받는 소프트웨어

Windows XP 서비스 팩3	.NET Framework 3.5 서비스 팩0, 1 .NET Framework 4.0
Windows XP Professional 64-bit 서비스 팩2
Windows Server 2003 서비스 팩 2
Windows Server 2003 64-bit 서비스 팩 2
Windows Server 2003 Itanium 서비스 팩2
Windows Vista 서비스 팩 1 Windows Vista 64-bit 서비스 팩 1	.NET Framework 3.5 서비스 팩0, 1 .NET Framework 4.0
Windows Vista 서비스 팩 2 Windows Vista 64-bit 서비스 팩 2	.NET Framework 3.5 서비스 팩1 .NET Framework 4.0
Windows Server 2008 Windows Server 2008 64-bit Windows Server 2008 Itanium	.NET Framework 3.5 서비스 팩0, 1 .NET Framework 4.0
Windows Server 2008 서비스 팩 2 Windows Server 2008 64-bit 서비스 팩 2 Windows Server 2008 Itanium 서비스 팩 2	.NET Framework 3.5 서비스 팩1 .NET Framework 4.0
Windows 7 서비스 팩 0, 1 Windows7 64-bit 서비스 팩 0, 1	.NET Framework 4.0
Windows Server 2008 R2 64-bit 서비스 팩 0, 1 Windows Server 2008 R2 Itanium 서비스 팩 0, 1

 ※ **표시된 윈도우를 서버코어(Server Core)옵션으로 설치한 경우, 해당 취약점에 영향을 받지 않음

  o 영향 받지 않는 소프트웨어

Windows XP 서비스 팩3	.NET Framework 2.0 서비스 팩2
Windows XP Professional 64-bit 서비스 팩2
Windows Server 2003 서비스 팩 2
Windows Server 2003 64-bit 서비스 팩 2
Windows Server 2003 Itanium 서비스 팩2
Windows Vista 서비스 팩 1 Windows Vista 64-bit 서비스 팩 1	.NET Framework 2.0 서비스 팩1, 2
Windows Vista 서비스 팩 2 Windows Vista 64-bit 서비스 팩 2	.NET Framework 2.0 서비스 팩2
Windows Server 2008 Windows Server 2008 64-bit Windows Server 2008 Itanium	.NET Framework 2.0 서비스 팩1, 2
Windows Server 2008 서비스 팩 2 Windows Server 2008 64-bit 서비스 팩 2 Windows Server 2008 Itanium 서비스 팩 2	.NET Framework 2.0 서비스 팩2
Windows 7 서비스 팩 0, 1 Windows7 64-bit 서비스 팩 0, 1	.NET Framework 3.5.1
Windows Server 2008 R2 64-bit 서비스 팩 0, 1 Windows Server 2008 R2 Itanium 서비스 팩 0, 1

    - .NET Framework 1.1 서비스 팩 1
    - .NET Framework 3.0
    - .NET Framework 3.0 서비스 팩 1

□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS11-044.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-044.mspx

[MS11-045] Excel의 취약점으로 인한 원격 코드 실행 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명
  o 공격자가 특수하게 조작된 SMB요청을 클라이언트로 보낼 경우 원격코드가 실행될 수 있는
     취약점이 존재
  o 관련취약점 :
    - Excel 불충분한 레코드 유효성 검사 취약점(CVE-2011-1272)
    - Excel 잘못된 레코드 구문 분석 취약점(CVE-2011-1273)
    - Excel 범위 초과 배열 액세스 취약점(CVE-2011-1274)
    - Excel 메모리 힙 덮어쓰기 취약점(CVE-2011-1275)
    - Excel 버퍼 오버런 취약점(CVE-2011-1276)
    - Excel 메모리 손상 취약점(CVE-2011-1277)
    - Excel WriteAV 취약점(CVE-2011-1278)
    - Excel 범위 초과 WriteAV 취약점(CVE-2011-1279)
  o 영향 : 원격 코드 실행
  o 중요도 : 중요

□ 해당시스템
  o 영향 받는 소프트웨어
    - Office XP 서비스 팩 3
    - Office 2003 서비스 팩 3
    - Office 2007 서비스 팩 2
    - Microsoft Office 2010
    - Microsoft Office 2010 64-bit
    - MAC환경에서 동작하는 Office 2004, 2008, 2011
    - MAC환경에서 동작하는 Open XML File Format Converter
    - Excel Viewer 서비스 팩 2
    - Word, Excel, PowerPoint 2007 파일 형식 서비스 팩 2용 Microsoft Office 호환 기능 팩

   o 영향 받지 않는 소프트웨어
    - Microsoft Works 9

□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS11-045.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-045.mspx

[MS11-046] Ancillary Function Driver의 취약점으로 인한 권한상승 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대해 권한 상승

□ 설명
  o 공격자가 특수하게 조작된 응용 프로그램을 실행할 경우 권한 실행될 수 있는 취약점이 존재
  o 관련취약점 :
    - Ancillary Function Driver 권한 상승 취약점(CVE-2011-1249)
  o 영향 : 권한상승
  o 중요도 : 중요

□ 해당시스템
  o 영향 받는 소프트웨어
    - Windows XP 서비스 팩 3
    - Windows XP Professional 64-bit 서비스 팩 2
    - Windows Server 2003 서비스 팩 2
    - Windows Server 2003 64-bit 서비스 팩 2
    - Windows Server 2003 SP2 Itanium
    - Windows Vista 서비스 팩 1, 2
    - Windows Vista 64-bit 서비스 팩 1, 2
    - Windows Server 2008 서비스 팩 0, 2
    - Windows Server 2008 64-bit 서비스 팩 0, 2
    - Windows Server 2008 Itanium 서비스 팩 0, 2
    - Windows 7 서비스 팩 0, 1
    - Windows 7 64-bit 서비스 팩 0, 1
    - Windows Server 2008 R2 64-bit 서비스 팩 0, 1
    - Windows Server 2008 R2 Itanium 서비스 팩 0, 1

□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS11-046.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-046.mspx

[MS11-047] Hyper-V의 취약점으로 인한 서비스 거부 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대한 서비스 거부

□ 설명
  o 공격자가 특수하게 조작된 패킷을 VMBus로 보낼 경우 서비스 거부가 발생할 수 있는 취약점이
     존재
  o 관련취약점 :
    - VMBus 지속적 DoS 취약점(CVE-2011-1872)
  o 영향 : 서비스거부
  o 중요도 : 중요

□ 해당시스템
  o 영향 받는 소프트웨어
    - Windows Server 2008 64-bit 서비스 팩 0, 2
    - Windows Server 2008 R2 64-bit 서비스 팩 0, 1

□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS11-047.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-047.mspx

[MS11-048] SMB 서버의 취약점으로 인한 서비스 거부 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대한 서비스 거부

□ 설명
  o 공격자가 특수하게 조작된 SMB패킷을 영향받는 시스템에 보낼 경우 서비스 거부가 발생할 수
     있는 취약점이 존재
    ※ SMB(Server Message Block) : 윈도우 환경에 사용되는 파일/인쇄기 공유 프로토콜
  o 관련취약점 :
    - SMB 요청 구문 분석 취약점(CVE-2011-1267)
  o 영향 : 서비스거부
  o 중요도 : 중요

□ 해당시스템
  o 영향 받는 소프트웨어
    - Windows Vista 서비스 팩 1, 2
    - Windows Vista 64-bit 서비스 팩 1, 2
    - Windows Server 2008 서비스 팩 0, 2
    - Windows Server 2008 64-bit 서비스 팩 0, 2
    - Windows Server 2008 Itanium 서비스 팩 0, 2
    - Windows 7 서비스 팩 0, 1
    - Windows 7 64-bit 서비스 팩 0, 1
    - Windows Server 2008 R2 64-bit 서비스 팩 0, 1
    - Windows Server 2008 R2 Itanium 서비스 팩 0, 1

  o 영향 받지 않는 소프트웨어
    - Windows XP 서비스 팩 3
    - Windows XP Professional 64-bit 서비스 팩 2
    - Windows Server 2003 서비스 팩 2
    - Windows Server 2003 64-bit 서비스 팩 2
    - Windows Server 2003 SP2 Itanium

□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS11-048.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-048.mspx

[MS11-049] Microsoft XML 편집기의 정보 유출 문제

□ 영향
  o 공격자가 영향 받는 시스템으로부터 정보를 유출할 수 있음

□ 설명
  o 특수하게 조작된 웹 서비스 검색(.disco) 파일을 열 경우 정보가 유출될 수 있음
  o 관련취약점 :
    - XML 외부 엔터티 확인 취약점(CVE-2011-1280)
  o 영향 : 정보유출
  o 중요도 : 중요

□ 해당시스템
  o 영향 받는 소프트웨어

Microsoft Office 소프트웨어	- Microsoft InfoPath 2007 서비스 팩 2 - Microsoft InfoPath 2010 32-bit edition - Microsoft InfoPath 2010 64-bit edition
Microsoft SQL Server	- SQL Server 2005 서비스 팩 3, 4 - SQL Server 2005 64-bit Edition 서비스 팩 3, 4 - SQL Server 2005 Itanium 서비스 팩 3, 4 - SQL Server 2005 Express Edition 서비스 팩 3, 4 - 고급 서비스가 포함된 SQL Server 2005 Express Edition   서비스 팩 3, 4 - SQL Server Management Studio Express(SSMSE) 2005 - SQL Server Management Studio Express(SSMSE) 2005 64-   bit Edition - SQL Server 2008 32-bit 서비스 팩 1, 2 - SQL Server 2008 64-bit 서비스 팩 1, 2 - SQL Server 2008 Itanium 서비스 팩 1, 2 - SQL Server 2008 R2 64-bit - SQL Server 2008 R2 Itanium
개발자 도구	- Microsoft Visual Studio 2005 서비스 팩 1 - Microsoft Visual Studio 2008 서비스 팩 1 - Microsoft Visual Studio 2010

   
  o 영향 받지 않는 소프트웨어
    - Microsoft InfoPath 2003 서비스 팩 2, 3
    - Microsoft SQL Server 2000 Desktop Engine 서비스 팩 4
    - Microsoft SQL Server 2000 Itanium 서비스 팩 4
    - Microsoft SQL Server 2000 Reporting Services 서비스 팩 2
    - Microsoft SQL Server 2000 서비스 팩 3a, 4
    - Microsoft SQL Server 7.0 서비스 팩 4
    - Microsoft Visual Studio .NET 2003 서비스 팩 1
 
□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS11-049.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-049.mspx

[MS11-050] Internet Explorer 누적 보안 업데이트

□ 영향
  o 공격자가 영향 받는 시스템에 대해 사용자 권한 획득

□ 설명
  o 웹 서버에서 제공한 콘텐츠 설정 적용, toStaticHTML을 사용하여 HTML 삭제 처리, 메모리의 개체
     처리 및 특정 프로세스 중 스크립트 처리 방식의 문제로 인해 원격 코드 실행 취약점이 발생
    ※ toStaticHTML API: IE에서 HTML을 렌더링하기 전에 사용자의 입력으로부터 이벤트 속성이나
        스크립트를 제거하는 기능
  o 관련취약점 :
    - MIME 스니핑 정보 유출 취야점(CVE-2011-1246)
    - DOM 조작 메모리 손상 취약점(CVE-2011-1251)
    - toStaticHTML 정보 유출 취약점(CVE-2011-1252)
    - 끌어서 놓기 메모리 손상 취약점(CVE-2011-1254)
    - 시간 요소 메모리 손상 취약점(CVE-2011-1255)
    - DOM 수정 메모리 손상 취약점(CVE-2011-1256)
    - 끌어서 놓기 정보 유출 취약점(CVE-2011-1258)
    - 레이아웃 메모리 손상 취약점(CVE-2011-1260)
    - 선택 개체 메모리 손상 취약점(CVE-2011-1261)
    - HTTP 리디렉션 메모리 손상 취약점(CVE-2011-1262)
  o 영향 : 원격 코드 실행
  o 중요도 : 긴급

□ 해당시스템
  o 영향 받는 소프트웨어

Internet Explorer 6	- Windows XP 서비스 팩 3 - Windows XP Professional 64-bit Edition 서비스 팩 2 - Windows Server 2003 서비스 팩 2 - Windows Server 2003 64-bit Edition 서비스 팩 2 - Windows Server 2003 Itanium 서비스 팩 2
Internet Explorer 7	- Windows XP 서비스 팩 3 - Windows XP Professional 64-bit Edition 서비스 팩 2 - Windows Server 2003 서비스 팩 2 - Windows Server 2003 x64 Edition 서비스 팩 2 - Windows Server 2003 Itanium 서비스 팩 2 - Windows Vista 서비스 팩 1, 2 - Windows Vista 64-bit Edition 서비스 팩 1, 2 - Windows Server 2008 32-bit 서비스 팩 0, 2** - Windows Server 2008 64-bit 서비스 팩 0, 2** - Windows Server 2008 Itanium 서비스 팩 0, 2
Internet Explorer 8	- Windows XP 서비스 팩 3 - Windows XP Professional x64 Edition 서비스 팩 2 - Windows Server 2003 서비스 팩 2 - Windows Server 2003 64-bit Edition 서비스 팩 2 - Windows Vista 서비스 팩 1, 2 - Windows Vista 64-bit Edition 서비스 팩 1, 2 - Windows Server 2008 32-bit 서비스 팩 0, 2** - Windows Server 2008 64-bit 서비스 팩 0, 2** - Windows 7 32-bit 서비스 팩 0, 1 - Windows 7 64-bit 서비스 팩 0, 1 - Windows Server 2008 R2 64-bit 서비스 팩 0, 1** - Windows Server 2008 R2 Itanium 서비스 팩 0, 1
Internet Explorer 9	- Windows Vista 서비스 팩 2 - Windows Vista x64 Edition 서비스 팩 2 - Windows Server 2008 32-bit 서비스 팩 2** - Windows Server 2008 64-bit 서비스 팩 2** - Windows 7 32-bit 서비스 팩 0, 1 - Windows 7 64-bit 서비스 팩 0, 1 - Windows Server 2008 R2 64-bit 서비스 팩 0, 1**

 ※ **표시된 윈도우를 서버코어(Server Core)옵션으로 설치한 경우, 해당 취약점에 영향을 받지 않음

□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS11-050.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-050.mspx

[MS11-051] Active Directory 자격 증명 서비스 웹 등록의 취약점으로 인한 권한 상승 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득

□ 설명
  o Active Directory 자격 증명 서비스 웹 등록 사이트에서 입력 매개 변수의 유효성을 적적히 검사
     하지 못하여 권한 상승 취약점 발생
    ※ Active Directory : MS社에서 만든 Directory 서비스
  o 공격자가 대상 사용자의 컨텍스트에서 사이트에 대해 임의의 명령을 실행할 수 있는 XSS 취약점
    ※ XSS : 해커가 공격 대상자의 웹브라우저에서
악의적인 스크립트(피싱사이트/해킹경유지 접속
                 등)를 실행시킬 수 있는 보안취약점
  o 관련취약점 :
    - Active Directory 자격 증명 서비스 취약점(CVE-2011-1264)
  o 영향 : 권한상승
  o 중요도 : 중요

□ 해당시스템
  o 영향 받는 소프트웨어
    - Windows Server 2003 서비스 팩 2
    - Windows Server 2003 64-bit 서비스 팩 2
    - Windows Server 2008 32-bit 서비스 팩 0, 2**
    - Windows Server 2008 64-bit 서비스 팩 0, 2**
    - Windows Server 2008 R2 64-bit 서비스 팩 0, 1**
 ※ **표시된 윈도우를 서버코어(Server Core)옵션으로 설치한 경우, 해당 취약점에 영향을 받지 않음
  
  o 영향 받지 않는 소프트웨어
    - Windows XP SP3
    - Windows XP Professional 64-bit Edition 서비스 팩 2
    - Windows Server 2003 Itanium SP2
    - Windows Vista 서비스 팩 1, 2
    - Windows Vista 64-bit Edition 서비스 팩 1, 2
    - Windows Server 2008 Itanium 서비스 팩 0, 2
    - Windows 7 32-bit 서비스 팩 0, 1
    - Windows 7 64-bit 서비스 팩 0, 1
    - Windows Server 2008 R2 Itanium 서비스 팩 0, 1

□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/bulletin/MS11-051.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-051.mspx

[MS11-052] 벡터 표시 언어의 취약점으로 인한 원격 코드 실행 문제

□ 영향
  o 공격자가 영향 받는 시스템에 대해 사용자 권한 획득

□ 설명
  o 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행
  o Internet Explorer가 메모리에서 개체를 처리하는 과정에서 원격 코드 실행 취약점이 발생
  o 관련취약점 :
    - VML 메모리 손상 취약점(CVE-2011-1266)
  o 영향 : 원격 코드 실행
  o 중요도 : 긴급

□ 해당시스템
  o 영향 받는 소프트웨어

Internet Explorer 6	- Windows XP 서비스 팩 3 - Windows XP Professional 64-bit Edition 서비스 팩 2 - Windows Server 2003 서비스 팩 2 - Windows Server 2003 64-bit Edition 서비스 팩 2 - Windows Server 2003 Itanium 서비스 팩 2
Internet Explorer 7	- Windows XP 서비스 팩 3 - Windows XP Professional 64-bit Edition 서비스 팩 2 - Windows Server 2003 서비스 팩 2 - Windows Server 2003 x64 Edition 서비스 팩 2 - Windows Server 2003 Itanium 서비스 팩 2 - Windows Vista 서비스 팩 1, 2 - Windows Vista 64-bit Edition 서비스 팩 1, 2 - Windows Server 2008 32-bit 서비스 팩 0, 2** - Windows Server 2008 64-bit 서비스 팩 0, 2** - Windows Server 2008 Itanium 서비스 팩 0, 2
Internet Explorer 8	- Windows XP 서비스 팩 3 - Windows XP Professional x64 Edition 서비스 팩 2 - Windows Server 2003 서비스 팩 2 - Windows Server 2003 64-bit Edition 서비스 팩 2 - Windows Vista 서비스 팩 1, 2 - Windows Vista 64-bit Edition 서비스 팩 1, 2 - Windows Server 2008 32-bit 서비스 팩 0, 2** - Windows Server 2008 64-bit 서비스 팩 0, 2** - Windows 7 32-bit 서비스 팩 0, 1 - Windows 7 64-bit 서비스 팩 0, 1 - Windows Server 2008 R2 64-bit 서비스 팩 0, 1** - Windows Server 2008 R2 Itanium 서비스 팩 0, 1

 ※ **표시된 윈도우를 서버코어(Server Core)옵션으로 설치한 경우, 해당 취약점에 영향을 받지 않음

  o 영향 받지 않는 소프트웨어 

Internet Explorer 9

- Windows Vista 서비스 팩 2 - Windows Vista x64 Edition 서비스 팩 2 - Windows Server 2008 32-bit 서비스 팩 2** - Windows Server 2008 64-bit 서비스 팩 2** - Windows 7 32-bit 서비스 팩 0, 1 - Windows 7 64-bit 서비스 팩 0, 1 - Windows Server 2008 R2 64-bit 서비스 팩 0, 1**

□ 해결책
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용

□ 참조사이트
  o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS11-052.mspx
  o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS11-052.mspx


- 출처 : http://www.krcert.or.kr/index.jsp

최근 유명 소셜커머스인 '쿠팡' 사이트의 해킹으로 인해 악성코드가 유포 된 사례가 있었다.

일평균 접속자가 많은 만큼 감염자 상당히 많지 않을까 생각이 든다.

어쨌든, Abobe flash Player 취약점으로 인한 감염이었기에 Adobe 측에서 발빠르게 패치를 하여
업데이트가 가능하기 때문에 버전이 낮은 분들은 빨리 업데이트 하시기 바람~!

<참조자료>    http://www.adobe.com/support/security/bulletins/apsb11-18.html

- 영향 받는 소프트웨어
   1. 윈도우, 매킨토시, 리눅스, 솔라리스 환경에서 동작하는 Adobe Flash Player 10.3.181.23 및 이전 버전
   2. 안드로이드 환경에서 동작하는 Adobe Flash Player 10.3.185.23 및 이전 버전


- 해결방안
   o 윈도우, 매킨토시, 리눅스, 솔라리스 환경의 Adobe Flash Player 10.3.181.23 및 이전버전 사용자
     - Adobe Flash Player Download Center(http://get.adobe.com/kr/flashplayer/)에 방문하여
       Adobe Flash Player 10.3.181.26버전을 설치하거나 자동 업데이트를 이용하여 업그레이드


- 수동 업데이트 방법
  1. "제어판" > "Flash Player" > "고급탭" 에서 업데이트 버튼을 클릭한다.

url : www.su****.pe.kr

 

- 실행 결과

1. cps_down_v165.exe 실행

2. 원격서버로 다음과 같은 쿼리 요청

: /newact/exefileall.asp                                             => 악성코드 파일 리스트

: /newact/exename.asp?uncode=165                        => 파라메터 값에 해당되는 파일

: /DownLoad/c/ver165/cps_exe_v165_7.exe           => 다운받을 파일

 

3. 다운받은 파일 실행 (cps_exe_v165_7.exe)

 

4. 원격서버로 다음과 같은 쿼리 요청

: /NewAct/GetSiteFileTime.asp

: /download/keylist/sitelist.txt

: /NewAct/GetKeyFileTime.asp

: /download/keylist/keylistnew.txt

: /NewAct/GetUrlFileTime.asp

: /download/keylist/urllist.txt

: /download/c/ver165/uninstall_v165.exe

: /NewAct/UserConnectAll.asp?uncode=165&dsend=N&bsend=N

 

5. 레지스트리에 자동 시작 되도록 등록

 

 

6. sun 폴더 생성 후 4개 파일 생성

: cps_exe_v165_7_bt.sun_

: cps_exe_v165_7_dc.sun_

: cps_exe_v165_7_kc.sun_

: cps_exe_v165_7_sc.sun_

 

7. 프로그램 등록

 

 

 

8. 좀비 프로세스로 메모리 상주 (부모프로세스 제거 시 좀비프로세스가 됨)

해당 취약점은 윈도우 취약점과 Adobe 취약점으로 감염되기 때문에 꼭 업데이트를 해야한다.

 

Microsoft 보안업데이트(2011년06월15일)

[Adobe]Security update available for Adobe Flash Player(CVE-2011-2110)

 

ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일이며,
최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.

<감염 증상>
  - 인터넷 이용시 웹 브라우저가 죽는 현상과 국내 보안 제품 (V3, 알약)의 동작을 방해하는 현상이 있다. 

<악성코드 유포 경로>   http://208.98.**.227/2.html   http://208.98.**.227/2.js

<정상파일 정보>   파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT)   파일위치 : c:\windows\system32   파일크기 : 19.5KB <감염파일 정보>   파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT)   파일위치 : c:\windows\system32   파일크기 : 32MB

- 정상파일과 악성파일의 비교

정상파일 ws2help.dll 의 크기는 약 20KB 이며, 새롭게 생성 된 ws2help.dll 악성파일의 크기는 32MB 이다.

<생성파일>

- 감염 시스템에 생성 된 ws2help.dll 과 백업 된 ws3help.dll 변경

1) (정상) ws2help.dll -> ws3help.dll 로 백업시키며,
2) 사용자PC의 감염시간을 표기하는 dll 도 생성시킨다.
3) 정상파일의 이름인 ws2help.dll 파일로 생성시킨다.
4) df.ini 파일을 생성하여 계정 정보를 저장한다.

아무런 이유없이 인터넷 창이 꺼지거나   system32 폴더에 ws3help.dll이나 2011062312.dll(감염날짜) 가 있다면 의심하라!!

감염된 시간을 표시하는 dll 도 생성시킨다.

<계정유출 사이트 정보>   넷마블   피망   넥슨

- 가로 챈 사용자 정보는 아래의 사이트로 전송되며, df.ini 파일에 계정정보를 저장한다.

http://www.dnf***.com/net/mail.asp?   http://www.dnf***.com/pm/mail.asp?  * url을 게임별로 구분해 놓은걸 보니 아주 섬세한 성격인가보다..

이해를 돕고자 어떻게 계정 유출 되는지 테스트를 해보았다.

로그인 하자마자 내 계정을 바로 빼가신다. 뭐.. 참 대~~단하시다.





- ws2help.dll 수동삭제 방법
해당 파일(ws2help.dll)은 WFP에 의해 보호받고 있는 파일이기 때문에
악성파일의 이름을 변경해주면 Windows에서 알아서 복구시킨다.

- 삭제 방법은 다음과 같다.   1. ws2help.dll 의 이름 변경한다.   2. 윈도우가 복구 해줄때 까지 wait~!   3. ws2help.dll 파일이 복구 되었는지 확인한다. (정상파일 크기는 20KB이다.)   4. 재부팅 후 변경 한 ws2help.dll 파일을 삭제한다.   5. 윈도우 및 Adove Flash Player 를 최신버전으로 업데이트 한다.

[기사원문보기]

개인정보보호법 통과에 따라 그간 법의 사각지대였던 민간 사업자, 비영리단체, 사법기관, 동호회 등 수백만 사업자, 기관들이 추가적으로 개인정보보호 의무를 새로이 부여받게 된다. 아울러 고객 개인정보에서부터 입사 지원자정보, 임직원정보, 협력회사 인원정보 등 모든 유형의 개인정보가 법 적용 대상이 되기 때문에 모든 기업은 어떤 형태로든지 이 법을 준수해야 한다.

기존 법률에 따라 개인정보보호의 틀이 어느 정도 잡혀있던 포털, 통신사, 쇼핑몰 등 정보통신서비스제공자나 준용사업자의 경우에는 개인정보보호법에 따라 변경되는 부분만 보완하면 된다. 하지만 순수 B2B 성격의 제조 기업 등 개인정보보호 관련 법제도의 사각지대에 놓여 있었던 기업들은 완전히 새롭게 개인정보보호 체계를 수립해야 할 것이다.

기업은 우선적으로 개인정보보호법 내용을 충분히 숙지하고, 머지않아 발표될 시행령·시행규칙 및 정부의 정책방향 등을 모니터링해 회사의 개인정보보호정책·지침을 수립해야 한다. 또 조직체계를 정비하는 등 전사 개인정보보호 관리체계도 수립해야 한다.

다음으로는 전사에 존재하는 개인정보가 어떤 것들이 있으며 그러한 정보들이 수집, 저장, 이용, 제공, 폐기되는 모든 과정의 라이프사이클을 파악해 각 단계별로 어떠한 법적·보안적 리스크가 있는지 분석해야 한다.

마지막으로 이렇게 식별된 개인정보보호 리스크에 대해 개인정보보호법에서 요구하는 최소한의 조치를 우선적으로 적용해야 한다. 여기에는 고유 식별정보에 대한 암호화, 접속기록의 보존, 내부관리계획 수립 등과 같은 기술적·물리적·관리적 보호조치뿐만 아니라, 개인정보 수집 동의 절차 수립, 개인정보처리방침 고지 등과 같은 정보주체의 개인정보 자기결정권을 보장하는 측면들도 함께 고려돼야 한다.

최근에 초대형 보안사고가 잇따라 발생하면서 기업의 보안담당자들이 가장 많이 들었을 말이 “우리는 괜찮은가?”였을 것이다. 그동안 설마 우리는 괜찮겠지 하던 안이한 생각들로 인해 소극적으로 대응해오던 기업들도 최근 발생한 보안사고들을 바라보면서 보안 강화를 위한 긴급조치를 취하고 투자를 검토하고 있다.

개인정보보호법도 조만간 현실이 될 것이다. 철저히 준비하고 기업 환경에 맞는 개인정보보호체계를 수립해 더 이상 소 잃고 외양간 고치는 일이 없기를 바란다.

[기사원문보기]

[기사원문보기]

[기사원문보기]


경찰청 사이버테러대응센터는 25일 자신이 운영하는 온라인게임업체 직원을 동원해 경쟁 게임사이트를 분산서비스거부(DDos) 공격한 혐의로 김모씨(35)의 구속영장을 신청했다. 또 김씨의 지시를 받고 악성 프로그램을 제작 또는 유포하거나 디도스 공격을 한 권모씨(37) 등 8명은 입건했다.

IT업체를 운영하면서 유명 게임사이트를 위탁관리해 온 김씨는 지난해 9월부터 올해 2월까지 권씨 등 직원을 시켜 경쟁 사이트 15곳에 디도스 공격을 감행, 이들 사이트의 서비스를 일시적으로 마비시킨 혐의를 받고 있다.

김씨는 악성프로그램 제작조(2명)와 유포조(4명), 공격조(2명) 등으로 역할을 분담시켰으며, 유포조에게 서울의 PC방 50곳을 돌며 웹하드 사이트 15곳에 인기 드라마 동영상 파일로 위장한 악성코드 1000여개를 올리게 했다고 경찰은 전했다.

경찰은 동영상 파일을 내려받아 악성코드에 감염된 좀비PC가 50만대라는 진술을 받아냈으며 수사과정에서 확인된 것만 13만대에 이른다고 밝혔다.

[기사원문보기]

마이크로소프트(MS) 익스플로러 브라우저의 허점이 또 발견됐다. 일명 ‘쿠키재킹(Cookiejacking)’으로 불리는 이 기술은 인터넷 브라우저를 의미하는 ‘쿠키(Cookie)’를 ‘납치(Jacking)’한다는 의미로, 페이스북이나 트위터 등 SNS 기반 페이지에 손쉽게 접근할 수 있다.

이탈리아 보안연구소의 로사리오 바로타 소장은 “모든 웹사이트와 모든 쿠키에서 가능하다”며 “당신이 무엇을 상상하든 그 이상을 보게될 것”이라고 밝혔다.

해커는 인터넷 브라우저에 저장된 데이터파일에 접근해 로그인 이름과 패스워드를 알아낸다. 해커가 그 쿠키를 갖기만 하면 다시 똑같은 사이트에 접근할 수 있다. 인터넷 익스플로러 9를 포함한 모든 윈도 버전에서 가능하다.

한 가지 조건이 있다. 해커가 쿠키재킹을 시도하려면 희생자가 자신의 컴퓨터에 드래그앤드롭(Drag&drop)을 해야한다. 어려운 시도 같지만 바로타 소장은 쉬운 작업이라고 말한다. 그는 “페이스북에 퍼즐을 만든다”며 “노출이 있는 여성 사진 위에 퍼즐 블록을 놓으면 사람들은 드래그앤드롭을 한다”고 말했다. 그는 3일 동안 이 실험을 한 결과 80개가 넘는 쿠키가 자신의 서버에 들어왔다고 밝혔다.

이에 MS 측은 “이런 조건에서는 해킹은 성공하기 힘들다”며 “우리가 전혀 고려하지 않는 수법 중 하나”라고 일축했다.

-------------------------------------------------------------------------------------
별칭 : Trojan-GameThief.Win32.OnLineGames.xuar
분류 : 트로이목마
활동범위 : Win32
증상 : 레지스트리 변경, 개인정보유출, 악성코드 설치, cpu부하
-------------------------------------------------------------------------------------

최초 네이트온이 악성코드 감염으로 인하여 접속이 되지 않는다는 접수를 받고 확인결과,
계정 유출을 목적으로 하는 악성코드가 발견 됨.

파일명 : winweng.exe

해당 악성코드가 실행되면 추가적으로 악성파일을 생성하며 자동실행 되도록 레지스트리에 등록이 된다.

[생성파일]
C:\Windows\system\winpingying.ime
C:\Windows\system\Lins.log
C:\Documents and Settings\Administrator\Local Settings\Temp\del6b9d9d.bat (해당 파일명은 랜덤으로 생성)

[시작프로그램 등록]
HKLM\SOFTWARE\Micrisoft\Windows\CurrentVersion\Run
기본값 : C:\Windows\system\winweng.exe




del~*.bat 내용은 다음과 같다.

:Repeat del "C:\WINDOWS\system\winweng.exe" if exist "C:\WINDOWS\system\winweng.exe" goto Repeat del "C:\DOCUME~1\ADMIN~1\LOCALS~1\Temp\del6b9b9b.bat"

comment :
내용을 보시면 winweng.exe 를 삭제하도록 되어 있고
삭제를 했는데도 파일이 존재하면 다시 삭제하는 동작을 합니다.
여기서 이상한 점은 del 명령어에서 숨김파일 삭제 옵션이 없기 때문에 삭제가 되지 않습니다.
한마디로 무한반복 시키겠다는 얘기죠..

winweng.exe는 실행 시 cmd.exe를 통해 del~*.bat 파일을 실행시키며
배치파일의 내용을 무한반복시켜 cpu의 부하를 준다.




winpingying.ime 는 모든 프로세스에 Injection 되어 있으며, 특정 사이트에 접속할 경우
개인정보가 유출되도록 하는 동작을 한다.



해당 파일 분석 결과 특정사이트는 다음과 같다.

1. 메이플스토리
2. 던전앤파이트
3. 피망
4. 한게임
5. 테라
6. 아이온
7. 리니지1
8. 네이트온
9. 페이스북

[악성코드 분석]
winweng.exe 파일을 분석하기 위해 툴을 이용하여 파일구조를 확인 해 보았다.



악성코드는 UPX로 패킹이 되어 있으며 툴을 이용하여 언패킹을 할 수 있다.
언패킹한 결과, 해당 파일은 Visual C++ 6.0 컴파일러를 이용하여 컴파일 된 것을 확인할 수 있다.

이제 언패킹을 했으니 내용을 한 번 살펴 보도록 하자.
악성파일이 실행이 되면 특정 백신을 무력화 하는 AV Killer 기능이 있는 것을 확인할 수 있다.
또한 업데이트를 차단하여 악성코드를 탐지하지 못하도록 하고 있다.(지금은 백신에서 탐지 됨)



대표적으로 알약, 안랩, kaspersky, 바이러스 체이서 등이 눈에 띈다.
또한, 해당 악성파일이 삭제가 될 경우 재설치하는 기능도 있다.

[예방 조치 방법]

1. 악성코드가 감염이 되었다면 치료 후 비번을 꼭 변경한다. 2. 백신 실시간 기능이 활성화 되어 있는지 확인하자. 3. 백신 엔진을 최신으로 업데이트 한다. 4. 주기적으로 점검을 하여 예방하자.

끝.