노벨평화상 웹사이트에서 악성코드 유포

 


[엑스포츠뉴스=온라인뉴스팀] 노벨 평화상 웹사이트에 취약점을 악용하는 자바 스크립트 악성코드가 삽입되어 유포된 것으로 알려져 있다.

이번에 발견된 Firefox의 Zero-Day 취약점은 자세히 분석 중이다.

이 악성코드들은 V3 최신 엔진에서 JS/Belmoo, Win-Trojan/Belmoo.48640으로 진단한다.

자세한 사항은 ASEC 블로그(http://blog.ahnlab.com/asec/427)의 내용을 참고하면 된다.

파이어 폭스 제로 데이 취약점 악용 악성코드 유포

유럽 현지 시각으로 10월 26일 노벨 평화 상(Nobel Peace Prize) 웹 사이트에서 웹 브라우저(Web Browser)인 파이어폭스(Firefox)에 존재하는 기존에 알려지지 않은 제로 데이(0-Day, Zero-Day) 취약점을 악용하여 악성코드를 유포한 사고가 발생하였다.

이와 관련하여 모질라 시큐리티 블로그(Mozilla Security Blog)에서도 이와 관련한 정보들을 공개하고 있으며 이번 제로데이 취약점에 영향을 받는 버전은 파이어폭스 3.5 와 파이어폭스 3.6 인 것으로 밝히고 있다.

이번에 발생한 파이어폭스에 존재하는 알려지지 않은 제로 데이 취약점은 자바스크립트(Java Script) 형태를 가지고 있으며 이로 인해 특정 시스템에서 트로이목마를 다운로드한 후 실행하는 것으로 알려져 있다.

현재 ASEC에서는 파이어폭스에 존재하는 제로 데이 취약점과 자바스크립트 형태의 악성코드에 대해서는 추가적인 정보 수집과 함께 자세한 분석을 진행 중에 있다.

현재 알려진 해당 웹 브라우저의 제로 데이 취약점으로 인해 다운로드 후 실행되는 파일은 트로이목마로서 백도어의 기능을 가지고 있으며 48,640 바이트의 크기를 가지고 있다.

다운로드되는 악성코드가 실행되면 자신의 복사본을 다음과 같이 생성한다.

C:WINDOWStempsymantec.exe (48,640 바이트)

레지스트리에 다음 키들을 생성하여 윈도우 시스템 재부팅시 자동 실행하도록 구성하고 있다.

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Microsoft Windows Update = "C:WINDOWStempsymantec.exe"

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Microsoft Windows Update = "C:WINDOWStempsymantec.exe"

그리고 미국에 위치한 특정 시스템에 접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않으며 정상 동작을 하게 될 경우에는 다음의 악의적인 기능들을 수행할 것으로 분석 된다.

현재 실행 중인 프로그램 리스트 수집

웹 브라우저로 접속중인 웹 사이트 주소들 수집
프로세스 강제 종료
커맨드라인(CommandLine) 명령 수행

이번 파이어폭스의 알려지지 않은 제로 데이 취약점을 악용하여 다운로드 후 실행되는 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Belmoo.48640

파이어폭스를 개발하는 모질라에서 해당 제로 데이 취약점을 제거하는 보안 패치를 배포하기 전까지 임시 대응 방안으로 다음 사항들을 제안하고 있다.

파이어폭스에서 자바스크립트 비활성화
파이어폭스 노스크립트(NoScript) 플러그인 사용

[출처: 안철수연구소]
 
 

온라인뉴스팀 press@xportsnews.com