이번에 발견된 종류는 Animated Cursor 파일의 ‘Zero-Day Attack’이며, 아이콘 및 커서 형식 파일의 처리 문제로 인한 원격코드 실행 가능 취약점이다. 지금까지 URL 주소만 다른 3개의 샘플이 입수된 상황이다.
ANI 파일은 RIFF(Resource Interchange File Format) 형식으로 윈도우에서 멀티미디어 관련 데이터 등을 저장하기 위해 만들어진 파일 포맷으로 AVI, WAV 등의 미디어 파일에서도 다양하게 사용되고 있다.
잉카인터넷 시큐리티대응센터 고동훈차장은, “현재 중국 쪽으로부터 발견된 트로이목마 2종은 정상적으로 다운로드 기능이 작동하고 있으며, Code 구조상 쉽게 변형되어 유포될 가능성이 매우 높은 편이다. 아직 마이크로소프트사로부터 보안패치가 발표되지 않았기 때문에 다양한 형태의 공격으로 발전될 수 있으므로 기존의 Zero-Day 공격 성향처럼 국내 사이트를 목표로 한 온라인 게임 계정 도용 공격과 결합될 가능성도 충분하다”고 분석했다.
악의적인 ANI 파일은 취약한 웹 사이트와 전자우편 메시지 등을 통해서 유포되며, 인터넷 사용자가 해당 웹 페이지나 사이트를 방문 시 Exploit 코드가 포함된 ANI 파일이 실행되고, 코드 내부에 포함하고 있는 URL에 의하여 또 다른 악성코드를 사용자 몰래 설치하게 되는 방식을 이용하게 된다.
현재 마이크로소프트사에서는 아래와 같이 2007년 3월 29일자로 Security Advisory를 발표한 상태이다.
Microsoft Security Advisory (935423)
Vulnerability in Windows Animated Cursor Handling
http://www.microsoft.com/technet/security/advisory/935423.mspx
영향을 받는 운영체제는 아래와 같이 발표되었다.
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows Vista
발견된 ANI 파일로 인하여 다운로드가 시도되는 파일은 중국의 특정 사이트에 존재하며, Viking 변종 바이러스에 의해 파일이 감염된다.
이동혁부장은 “이 취약점을 악용한 공격자는 또 다른 원격코드(Backdoor) 등을 사용하여 영향을 받는 운영체제에 대하여 완벽한 제어 권한을 획득할 수 있기 때문에, 신뢰할 수 없는 웹 사이트나 의심되는 전자우편이 수신될 경우 각별한 주의가 요구되며, 마이크로소프트사의 보안패치가 발표되면 신속하게 설치하는 것이 중요하다”고 밝혔다.
잉카인터넷 개요
잉카인터넷은 2000년부터 인터넷 PC 보안 서비스라는 새로운 개념의 보안사업으로 출발해 현재 대한민국을 대표하는 정보보안 강소기업이다. 잉카인터넷의 보안 솔루션 “nProtect(엔프로텍트)”는 우수한 기술력과 서비스 체계를 갖춘 제품으로 안티바이러스, 게임보안, 온라인방화벽 등 다양한 정보보안 서비스를 제공하고 있다. 현재 잉카인터넷은 공공기관, 금융사 및 게임회사 정보보안 부분 시장점유율 1위를 기록하고 있으며, 국내를 넘어 일본, 중국, 미국 등 글로벌 시장 진출을 행하고 있다.
웹사이트: http://www.inca.co.kr
연락처
잉카인터넷 전략기획팀 장경욱 02-6220-8070 010-4732-5292
