Home > Àüü±â»ç

MS11-073 ¿öµå Ãë¾àÁ¡ ¾Ç¿ëÇÑ Å¸±ê °ø°Ý ¹ß»ý

ÀÔ·Â : 2012-02-10 17:10
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

[º¸¾È´º½º ±èÅÂÇü] ¾Èö¼ö¿¬±¸¼Ò ½ÃÅ¥¸®Æ¼¼¾ÅÍ¿¡ ÀÇÇϸé 2012³â 2¿ù 10ÀÏ ¹Ì±¹ º¸¾È ¾÷üÀÎ ½Ã¸¸ÅØ(Symantec)¿¡¼­´Â ºí·Î±× ¡®New Targeted Attack Using Office Exploit Found In The Wild¡¯À» ÅëÇØ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®(Microsoft)¿¡¼­ 2011³â 9¿ù °ø°³ÇÑ º¸¾ÈÆÐÄ¡ ¡®Microsoft Security Bulletin MS11-073 Microsoft OfficeÀÇ Ãë¾àÁ¡À¸·Î ÀÎÇÑ ¿ø°Ý ÄÚµå ½ÇÇà ¹®Á¦Á¡(2587634)¡¯ Ãë¾àÁ¡À» ¾Ç¿ëÇÑ Å¸±ê °ø°Ý(Targeted Attack)À» ¹ß°ßµÆ´Ù°í °ø°³Çß´Ù.


ÇØ´ç MS11-073 Ãë¾àÁ¡À» ¾Ç¿ëÇÑ Å¸±ê °ø°ÝÀº À̸ÞÀÏÀ» ÅëÇØ ÁøÇàµÆÀ¸¸ç ZIPÀ¸·Î ¾ÐÃàµÈ ÷ºÎÆÄÀÏ¿¡´Â ¾Æ·¡ À̹ÌÁö¿Í °°ÀÌ Ãë¾àÇÑ ¿öµå(Word) ÆÄÀÏ°ú fputlsat.dll(126,976 ¹ÙÀÌÆ®)ÀÌ Æ÷ÇԵǾî ÀÖ¾ú´Ù.


    


ÇöÀç ¾Èö¼ö¿¬±¸¼Ò ½ÃÅ¥¸®Æ¼¼¾ÅÍ¿¡¼­´Â ¡°ÇØ´ç Ãë¾àÇÑ ¿öµå ÆÄÀÏ¿¡ ´ëÇÑ ÀÚ¼¼ÇÑ ºÐ¼®À» ÁøÇà ÁßÀÌ¸ç °ü·Ã Á¤º¸´Â ¾÷µ¥ÀÌÆ® ÇÒ ¿¹Á¤¡±À̶ó°í ¹àÇû´Ù.


Ãë¾àÇÑ ¿öµå ÆÄÀÏÀ» fputlsat.dll(126,976 ¹ÙÀÌÆ®)¿Í µ¿ÀÏÇÑ Æú´õ¿¡¼­ ¿­°Ô µÇ¸é ¾Æ·¡ À̹ÌÁö¿Í °°Àº ¿öµå ÆÄÀÏÀÌ ½ÇÇàµÈ´Ù.


   


ÇØ´ç Ãë¾àÇÑ ÆÄÀÏÀÌ ½ÇÇàµÇ¸é ¾Æ·¡ À̹ÌÁö¿Í µ¿ÀÏÇÏ°Ô fputlsat.dll(126,976 ¹ÙÀÌÆ®)Àº »èÁ¦µÇ°í Á¤»ó Thumbs.db ÆÄÀÏÀÌ »ý¼ºµÈ´Ù.


    


±×·¯³ª ½ÇÁ¦·Î´Â ÇØ´ç Ãë¾àÇÑ ¿öµå ÆÄÀÏ¿¡ ÀÇÇØ À©µµ¿ì Àӽà Æú´õ(Temp)¿¡ ~MS2A.tmp(76,800 ¹ÙÀÌÆ®)ÀÌ »ý¼ºµÈ´Ù.


»ý¼ºµÈ  ~MS2A.tmp(76,800 ¹ÙÀÌÆ®) ÆÄÀÏÀº ´Ù½Ã À©µµ¿ì Æú´õ(C:\WINDOWS\)¿Í À©µµ¿ì ½Ã½ºÅÛ Æú´õ(C:\WINDOWS\system32\)¿¡ iede32.ocx(13,824 ¹ÙÀÌÆ®)À» »ý¼ºÇÏ°Ô µÈ´Ù.

±×¸®°í À©µµ¿ì ½Ã½ºÅÛÀÌ ÀçºÎÆÃÀ» ÇÏ¿©µµ »ý¼ºÇÑ iede32.ocx(13,824 ¹ÙÀÌÆ®)À» ÀÚµ¿ ½ÇÇàÇϱâ À§ÇØ ·¹Áö½ºÆ®¸®(Registry)¿¡ ´ÙÀ½ÀÇ Å°¸¦ »ý¼ºÇÑ´Ù.


HKLM\SYSTEM\ControlSet001\Services\Irmon\Parameters\ServiceDll          "C:\WINDOWS\system32\iede32.ocx"     


»ý¼ºµÈ iede32.ocx(13,824 ¹ÙÀÌÆ®)´Â Á¤»ó svchost.exe ÇÁ·Î¼¼½º¿¡ ½º·¹µå(Thread)·Î ÀÎÁ§¼Ç(Injection) µÇ¾î ¹Ì±¹¿¡ À§Ä¡ÇÑ Æ¯Á¤ ½Ã½ºÅÛÀ¸·Î ¿ªÁ¢¼Ó(Reverse Connection)À» ¼öÇàÇÏ°Ô µÈ´Ù. ±×·¯³ª Å×½ºÆ® ´ç½Ã¿¡´Â Á¤»ó Á¢¼ÓµÇÁö ¾Ê¾Ò´Ù.


½º·¹µå·Î ÀÎÁ§¼ÇµÈ iede32.ocx(13,824 ¹ÙÀÌÆ®)Àº °ø°ÝÀÚÀÇ ¸í·É¿¡ µû¶ó ´ÙÀ½ÀÇ ¾ÇÀÇÀûÀÎ ±â´ÉµéÀ» ¼öÇàÇÏ°Ô µÈ´Ù.


½ÇÇà ÁßÀÎ ÇÁ·Î¼¼½º ¸®½ºÆ®

°¨¿°µÈ ½Ã½ºÅÛ IP

ÆÄÀÏ ¾÷·Îµå

ÇÁ·Ï½Ã(Proxy) ±â´É ¼öÇà


À̹ø¿¡ ¹ß°ßµÈ MS11-073 Ãë¾àÁ¡À» ¾Ç¿ëÇÏ´Â ¾Ç¼ºÄÚµåµéÀº V3 Á¦Ç°±º¿¡¼­ ´ÙÀ½°ú °°ÀÌ Áø´ÜÇÒ ¿¹Á¤ÀÌ´Ù.

Dropper/MS11-073

Win-Trojan/Activehijack.126976

Win-Trojan/Activehijack.76800

Win-Trojan/Activehijack.13824

[±èÅÂÇü ±âÀÚ(boan@boannews.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)