중국애들이 MS05-002 취약점과 유사한 제로데이 취약점을 공격하기 시작했습니다. 몇몇 사이트 접속해보시면 마우스 커서에 애니메이션 효과를 주어서 이쁘게 꾸미고 있는 것을 보실 수 있는데요, 이런 효과는 ANI 확장자를 가진 파일에 의해 이루어집니다.
<현황>
MS Windows 제품군의 ANI 파일 처리에 아직 안알려져있던 제로데이 취약점이 발생해서, 사용자 몰래 트로이목마를 설치하고 있다고 합니다. 일부 사례의 경우 ANI 확장자가 아닌 JPG 확장자로 바꾸어 공격을 시도하는 경우도 있다고 합니다.
<영향받는 시스템>
Windows 2000 SP4, Windows XP SP2, Windows Server 2003, Windows Vista
<피해 발생 상황>
이 취약점은 웹 사이트 방문 시, 혹은 이메일 열람 시에 공격당할 수 있습니다.
<악성 코드를 호스팅하고 있는 사이트>
33577 .cn
ym52099.512j .com
1.520sb .cn
newasp.com .cn
koreacms .co.kr
i5460 .net
<대처 방안>
아직 패치가 나오지 않았으므로 다음과 같이 합니다.
1. 바이러스 백신 프로그램을 최신 버전으로 업데이트 합니다.
2. 평소 방문하던 믿을 수 있는 사이트 이외에 다른 사이트에 접속하지 않습니다.
3. 이메일, 메신저로 웹 사이트 주소를 받아도 방문하지 않습니다.
4. Outlook, Outlook Express 등 메일 클라이언트는 HTML 메일 기능 지원을 비활성화 해둡니다.
(참고 : http://support.microsoft.com/kb/291387 의 "모든 메시지를 일반 텍스트로 읽는 방법" 참조)
중국 사이트를 중심으로 악성 코드가 퍼지고 있는 듯 한데, 일찌감치 한국 사이트가 하나 뚫려서 악성 코드 퍼뜨리는데 일조(?)하고 있는 모습을 보니 씁쓸하군요.
참고 자료 :
http://www.dshield.org/diary.html?storyid=2534
http://secunia.com/advisories/24659/
McAffee 엔지니어가 Vista 에서 해당 취약점에 대해 조사하는 모습. 아직 충분히 조사하지 못한 듯.... 계속 크래쉬되는 정도만 보여주고 있다.
--- 추가 ---
http://www.dshield.org/diary.html?storyid=2539 에 따르면 Windows XP 사용자는 Outlook 에서 HTML 메일 기능 지원을 비활성화하는 것이 오히려 취약점 공격에 유용함을 알 수 있습니다. XP 사용자라면 HTML 메일 기능 지원을 활성화된 상태로 유지해주시고, 의심나는 메일을 열어보지 않는 것이 좋겠습니다.
<현황>
MS Windows 제품군의 ANI 파일 처리에 아직 안알려져있던 제로데이 취약점이 발생해서, 사용자 몰래 트로이목마를 설치하고 있다고 합니다. 일부 사례의 경우 ANI 확장자가 아닌 JPG 확장자로 바꾸어 공격을 시도하는 경우도 있다고 합니다.
<영향받는 시스템>
Windows 2000 SP4, Windows XP SP2, Windows Server 2003, Windows Vista
<피해 발생 상황>
이 취약점은 웹 사이트 방문 시, 혹은 이메일 열람 시에 공격당할 수 있습니다.
<악성 코드를 호스팅하고 있는 사이트>
33577 .cn
ym52099.512j .com
1.520sb .cn
newasp.com .cn
koreacms .co.kr
i5460 .net
<대처 방안>
아직 패치가 나오지 않았으므로 다음과 같이 합니다.
1. 바이러스 백신 프로그램을 최신 버전으로 업데이트 합니다.
2. 평소 방문하던 믿을 수 있는 사이트 이외에 다른 사이트에 접속하지 않습니다.
3. 이메일, 메신저로 웹 사이트 주소를 받아도 방문하지 않습니다.
4. Outlook, Outlook Express 등 메일 클라이언트는 HTML 메일 기능 지원을 비활성화 해둡니다.
(참고 : http://support.microsoft.com/kb/291387 의 "모든 메시지를 일반 텍스트로 읽는 방법" 참조)
중국 사이트를 중심으로 악성 코드가 퍼지고 있는 듯 한데, 일찌감치 한국 사이트가 하나 뚫려서 악성 코드 퍼뜨리는데 일조(?)하고 있는 모습을 보니 씁쓸하군요.
참고 자료 :
http://www.dshield.org/diary.html?storyid=2534
http://secunia.com/advisories/24659/
McAffee 엔지니어가 Vista 에서 해당 취약점에 대해 조사하는 모습. 아직 충분히 조사하지 못한 듯.... 계속 크래쉬되는 정도만 보여주고 있다.
--- 추가 ---
http://www.dshield.org/diary.html?storyid=2539 에 따르면 Windows XP 사용자는 Outlook 에서 HTML 메일 기능 지원을 비활성화하는 것이 오히려 취약점 공격에 유용함을 알 수 있습니다. XP 사용자라면 HTML 메일 기능 지원을 활성화된 상태로 유지해주시고, 의심나는 메일을 열어보지 않는 것이 좋겠습니다.
덧글
wafe 2007/03/31 02:26 # 삭제 답글
현재 업데이트된 내용을 보니, Outlook Express는 어떤식으로도 취약점을 피해갈 수 없고, Outlook 2003는 text mode로 사용하면 안전하며, Outlook 2007 사용자는 안전한 것 같군요.
wafe 2007/04/02 16:08 # 삭제 답글
zel4t0r / URL에 있는 내용을 읽어봤는데요, 무슨 말을 하고 있는지 모르겠어요 ㅜ.ㅜ