(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

Exploit-W32/WMF.19282

바이러스 종류

Trojan

실행환경

windows

발견일

2006년01월19일

제작지

불분명

위험등급

보통

확산방법

메신저, 보안취약성

바이러스 크기

19,282 Byte

첨부파일

메일제목

증상요약

메신저를 통해서 특정 싸이트에 접속하여 파일을 내려 받는다.

치료방법

터보백신 제품군으로 진단/치료 가능합니다.

상세설명

이 Exploit은 윈도우의 WMF(Windows Meta File) 보안헛점과 메시저를 통한 URL 링크,

웹서핑을 통하여 전파되며, 백도어및 애드웨어 파일을 특정 서버로부터 받을수 있다.

[특징]

WMF 파일을 특징상 스스로 전파되는 능력은 없으나 애드웨어및 트로이얀과

결합하여 MSN 메신저를 통해서 윈도우 취약점을 이용 하여

익스플로러의 미리 보기 기능을 통해서 또는, 웹페이지의 스크립트(iframe 태그이용)에 포함되는 등의

여러가지 전파방법을 통해 확산 될 수 있다.

WMF 파일은 Windows Picture and Fax Viewer 통해서 보여지는 이미지로

비트맵 정보와 벡터 정보를 모두 포함하는 16비트 메타 파일 형식이다.

현재 메신저로 전파되는 URL 은 다음과 같다.

http://ei**.info/fun/index.php?pg=121895
(** 주석처리)

이 링크를 클릭 하면 해당 주소를 따서 www.ei**.com 파일을 내려 받는다.

www.ei**.com 파일은 터보백신에서 Backdoor-W32/SdBot.74925 로 진단 삭제

가능 하다.

또한 e.wmf 파일도 함께 내려 받는데 이 파일은 특정 싸이트에

접근하는 정보를 암호화 해서 포함 하여 애드웨어나 트로이얀 백도어 등을

내려 받을 수 있을 가능성이 있다.

자체적으로는 실행이 되지 않지만 윈도우 2000, XP, 2003 에 기본적으로 지원되는

윈도우 파일 탐색기의 미리 보기 기능을 통해서 보안패치가 이루어지지

않은 시스템을 감염시킬수 있다.

다음의 링크에서 보안패치를 받아 윈도우운영체제의 업데이트를 실행해야 한다.

* 마이크로 소프트 중요 보안패치

아웃룩 패치(MS04-013)은 MHTML URL 처리 취약점을 보완한 것으로

웹서버의 iframe 태그 바뀌는 현상과 관련하여, 현재

웹서버에 Outlook Express가 시스템에 설치되 있고 기본 전자 메일 시스템으로

사용하지 않더라도 이 취약점으로 인한 위험성을 이용할 수 있습니다.

그리고 WMF 보안패치(MS06-001)는 마이크로 소프트의 그래픽 랜더링 취약점을 이용하여

각종 Bot류와 Adware의 유포가 가능한 WMF 보안위험에 대한 패치로 윈도우 2000및

윈도우 XP, 윈도우 2003에서 지원되는 탐색기의 미리 보기 기능을 통해서도

오픈되어 실행되는 위험성을 내포하고 있습니다.

또한 현재 일부 웹싸이트에서는 iframe 태그의 추가와 이로 인해 wmf를 내려 받는

싸이트로 링크가 변조 되는 경우가 있으므로 다음 3가지 보안패치를 반드시 수행해 주십시요.

* MS05-001 Windows 2000용 보안 업데이트(KB890175)

http://www.microsoft.com/downloads/details.aspx?FamilyId=BE1B11C0-EF09-4295-8FB2-0FF17BA65460&displaylang=ko

* MS04-013 (KB837009) 아웃룩 보안 업데이트

http://www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp

* MS06-001 Microsoft 윈도우즈 WMF 파일 처리 취약점 패치

http://www.microsoft.com/korea/technet/security/bulletin/ms06-001.mspx

(1차 분석 완료)

예방 및 수동조치방법