한국 모토롤라 고객 서비스 홈페이지가 복구 되었나 들어가봤다가 깜짝 놀랐습니다. 컴퓨터에 설치해놓은 백신에 아래와 같은 경고창이 떴기 때문입니다.
( 백신 경고 창 )
'헉, 이 놈들이 설마 홈페이지에 백도어를?' 하는 생각이 들어 뒤져봤습니다.
( 감염된 파일로 의심되는 파일 )
해당 파일을 에디터로 열어보고, include 하는 자바스크립트들을 열어봐도 별다른 특이사항이 없더군요.
이상하다 싶어 VirusTotal 의 도움을 빌어봤습니다.
( VirusTotal 검사 결과 )
AntiVir, AVG, BitDefender, ClamAV, McAfee, Microsoft 등 유명한 외산 백신들이 MS05-013 취약점을 공격하는 자바스크립트라고 경고합니다.
그러나 제가 소스를 보기엔 아무 이상이 없어서 아무리 봐도 오진인 듯 싶더군요. 소스에서 의심스러운 아래의 Class ID 에 대한 정보를 찾아봤습니다.
( 에디터로 소스 보기 )
Windows XP SP2 가 설치된 상태에서 팝업창을 뛰우는 아래와 같은 취약점 정보가 나오더군요. DHTML edit control 을 이용해 우회하는 기법입니다.
http://www.securiteam.com/windowsntfocus/6Y00D0UC0K.html
이외에도 많은 개발자 커뮤니티에서 위의 내용을 개발 Tip 으로 다루고 있었습니다.
그래서 이 소스를 토대로 간단한 테스트 파일을 만들어 VirusTotal 에서 다시 검사를 해보았습니다.
( 테스트 파일 검사 결과 )
검사 결과는 AntiVir 와 eSafe 를 제외한 나머지 백신에서 최초 검사 결과와 동일한 결과가 나왔습니다. AntiVir 나 eSafe 는 제가 의도적으로 생략한 부분의 문자열까지 살펴본 다음 바이러스로 단정한다는 것을 알 수 있었습니다.
Windows XP SP2 의 팝업창 보안 기능을 우회하는 Tip 을 많은 개발자들이 사용하고 있고, Heuristic 기능을 강화하고 있는 백신들이 이런 사이트를 악성 코드로 진단하는 것이 재미있네요. 이 부분은 Heurisitc 으로 인한 오진이라고 보기도 애매한 부분이네요. 어디까지나 개발자들이 취약점을 악용하는 것이니까요.
다행히 Vista 에서는 DHTML edit control 이 제거되어 개발자들이 위의 Tip 을 쓸 수 없다고 하니, 사용자 입장에선 놀랄 일이 줄어들 듯 합니다.
( 백신 경고 창 )
'헉, 이 놈들이 설마 홈페이지에 백도어를?' 하는 생각이 들어 뒤져봤습니다.
( 감염된 파일로 의심되는 파일 )
해당 파일을 에디터로 열어보고, include 하는 자바스크립트들을 열어봐도 별다른 특이사항이 없더군요.
이상하다 싶어 VirusTotal 의 도움을 빌어봤습니다.
( VirusTotal 검사 결과 )
AntiVir, AVG, BitDefender, ClamAV, McAfee, Microsoft 등 유명한 외산 백신들이 MS05-013 취약점을 공격하는 자바스크립트라고 경고합니다.
그러나 제가 소스를 보기엔 아무 이상이 없어서 아무리 봐도 오진인 듯 싶더군요. 소스에서 의심스러운 아래의 Class ID 에 대한 정보를 찾아봤습니다.
( 에디터로 소스 보기 )
Windows XP SP2 가 설치된 상태에서 팝업창을 뛰우는 아래와 같은 취약점 정보가 나오더군요. DHTML edit control 을 이용해 우회하는 기법입니다.
http://www.securiteam.com/windowsntfocus/6Y00D0UC0K.html
이외에도 많은 개발자 커뮤니티에서 위의 내용을 개발 Tip 으로 다루고 있었습니다.
그래서 이 소스를 토대로 간단한 테스트 파일을 만들어 VirusTotal 에서 다시 검사를 해보았습니다.
( 테스트 파일 검사 결과 )
검사 결과는 AntiVir 와 eSafe 를 제외한 나머지 백신에서 최초 검사 결과와 동일한 결과가 나왔습니다. AntiVir 나 eSafe 는 제가 의도적으로 생략한 부분의 문자열까지 살펴본 다음 바이러스로 단정한다는 것을 알 수 있었습니다.
Windows XP SP2 의 팝업창 보안 기능을 우회하는 Tip 을 많은 개발자들이 사용하고 있고, Heuristic 기능을 강화하고 있는 백신들이 이런 사이트를 악성 코드로 진단하는 것이 재미있네요. 이 부분은 Heurisitc 으로 인한 오진이라고 보기도 애매한 부분이네요. 어디까지나 개발자들이 취약점을 악용하는 것이니까요.
다행히 Vista 에서는 DHTML edit control 이 제거되어 개발자들이 위의 Tip 을 쓸 수 없다고 하니, 사용자 입장에선 놀랄 일이 줄어들 듯 합니다.
덧글
wafe 2007/03/19 14:37 # 삭제 답글
비스타용 DHTML edit control도 나와있긴 하지요. 기본 포함은 아니지만요.
송재훈 2007/03/20 12:55 # 삭제 답글
MS의 Live OneCare에 있는 Vaccine은 여러가지 문제가 아직은 있는 것 같더군요. VirusBulletin 테스트에서 떨어졌고 자사 제품인 Outlook과 Outlook Express의 메일함을 검역소로 보내버리는 문제도 있었고요. 아직은 Major vaccine이라고 하기는 어려울 것 같습니다.