2024-03-29 00:45 (금)
[긴급] MS워드 문서파일로 위장 변종 악성파일 유포中!
상태바
[긴급] MS워드 문서파일로 위장 변종 악성파일 유포中!
  • 길민권
  • 승인 2012.08.19 14:47
이 기사를 공유합니다

플래시 플레이어 취약점 악용 변종 악성파일 증가!
수시로 제공되는 최신 업데이트 반드시 설치해야 안전
어도비 취약점을 악용한 변종 악성파일 유포가 계속되고 있다. 사용자들의 주의가 요구된다. 어도비 플래시 플레이어(Adobe Flash Player) 프로그램에 존재하는 최신 보안취약점을 이용한 악성파일이 해외에서 다수 유포되고 있는 정황이 포착됐다. 해당 취약점을 이용한 악성파일은 2012년 08월 13일 경부터 발견되고 있으며 어도비사에서는 2012년 08월 14일 CVE-2012-1535 취약점에 대한 보안 권고문을 공개한 상태이다.
 
잉카인터넷 대응팀 관계자는 “공격자는 마치 정상적인 MS Word DOC 문서파일처럼 교묘히 위장해 변종 악성파일을 제작하여 유포하고 있는 상황이므로, 최신 보안업데이트 설치가 무엇보다 중요한 상태이다. 아울러 플래시 플레이어 취약점의 경우 매우 자주 발생하고 있으므로 수시로 제공되는 최신 업데이트를 반드시 설치하는 보안습관이 중요하다”고 강조했다.


<MS워드파일로 위장한 변종 악성파일 유포. 잉카인터넷 제공>
 
해당 취약점은 Adobe Flash Player 11.3.300.270 이하 버전에서 발생하고 있으며 마이크로 소프트사의 Word 문서파일로 위장된 형태로 유포 중이다. 잉카인터넷 대응팀은 현재 다수의 변종을 발견하고 긴급 업데이트를 통해 치료 기능을 제공하고 있다.
 
악성파일은 Word 파일 내부에 SWF 포맷 형태로 삽입되어 있으며 해당 파일에 의해서 특정 웹사이트 등에서 또 다른 악성파일이 다운로드되거나 설치될 수 있는 상황이다.
 
"MedalTop10.doc" 악성파일의 경우 감염될 경우 특정 웹사이트로 접속해 help.gif 이름의 이미지로 위장된 압축된 형태의 파일을 다운로드해 설치한다.
 
GIF 파일은 마치 이미지 파일처럼 헤더를 조작하고 있지만 실제로는 ZIP 포맷을 가지고 있고 암호로 보호되어 있다. 조작된 6바이트를 제거하고 압축포맷으로 변경 후 압축해제가 가능한 암호 "password123"로 압축해야 한다.
 
"password123" 암호를 통해서 정상적으로 압축해제를 하게 되면 내부에 test.exe라는 악성파일이  포함된 것을 확인할 수 있다.
 
현재 다양한 변종이 발견되고 있고 사회공학기법을 이용해 악성파일 전파가 시도되고 있으므로 Adobe Flash Player 제품에 대한 최신 업데이트가 신속히 진행되어야 한다.
 
<어도비 플래시 플레이어 최신버전 업데이트>
-get.adobe.com/kr/flashplayer/
 
잉카인터넷 관계자는 “사용자들은 최신 보안 패치를 상시적으로 수행함과 동시에 보안 관리 수칙을 준수하는 것이 안전한 PC사용을 위한 최선의 방법”이라고 강조했다.
 
<보안 관리 수칙>
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★