Home > 전체기사
이메일로 온 연봉계약서·선거공약 파일 열었다가...
  |  입력 : 2012-10-29 23:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최근 한글문서 취약점 악용한 악성코드 유포사례 빈번히 발생

불확실한 이메일 첨부파일 열지 말고 한글 보안패치 설치해야 


[보안뉴스 권 준] 최근 한글 소프트웨어의 취약점을 악용해 악성코드 감염을 시도하는 공격들이 자주 발생하고 있다.


최근 대통령 선거공약 관련 내용의 문서로 유포된 한글 취약점에 이어 일반기업들의 연봉계약서 내용으로 위장해 유포된 취약한 한글 파일이 발견됐다고 안랩 ASEC 측은 밝혔다.  


ASEC에 따르면 이번에 발견된 취약한 한글 파일은 ‘연봉계약서.hwp(1,015,812 바이트)’ 라는 파일명을 가지고 있으며, 이를 열게 되면 아래 이미지와 같은 내용이 보이는 것으로 알려졌다.


이번에 발견된 취약한 한글 파일은 HwpApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 코드 실행 취약점으로 해당 취약점은 2012년 6월 제로데이(Zero-Day) 취약점으로 발견됐다.


한글 파일이 열리게 되면, 사용자 모르게 백그라운드로 ‘system32.dll (81,920 바이트)’를 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\system32.dll


그리고 생성한 system32.dll 는 다시 ‘AppleSyncNotifier.exe(81,920 바이트)’이라는 파일을 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\시작 메뉴\프로그램\시작프로그램\AppleSyncNotifier.exe


생성된 AppleSyncNotifier.exe는 실행 중인 프로세스 리스트 수집, 파일 다운로드 및 업로드와 실행, 프로세스 강제 종료 등의 악의적인 기능들을 수행하게 된다는 게 ASEC 측의 설명이다.

감염된 시스템에서 수집한 정보들은 미국에 위치한 특정 시스템으로 HTTP를 이용해 전송하는 것으로 알려졌다.


이와 관련 ASEC 측은 “이번에 발견된 대통령 선거공약 또는 연봉계약서 관련 내용을 담고 있는 취약한 한글 파일들은 V3 제품군에서 HWP/Exploit, Win-Trojan/Symmi.81920 등의 파일명으로 진단된다”며, “현재 한글과 컴퓨터 사에서 해당 취약점에 대한 보안 패치를 배포 중인 상태이므로 해당 보안패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안”이라고 강조했다.

[권 준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)