본문 바로가기
악성코드 정보

윈도우 쉘 제로 데이 취약점 악용 악성코드 유포

by 알 수 없는 사용자 2011. 10. 26.

해외 일부 보안 업체를 통해 2010년 7월 14일 마이크로소프트(Microsoft) 윈도우(Windows) 제품군에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이 존재하는 것으로 추정되며 이를 악용하는 악성코드가 발견되었는다는 보고가 있었다.


윈도우 제품군에 존재하는 것으로 추정되었던 제로 데이 취약점은 미국 시간으로 2010년 7월 16일 공식적으로 알려지지 않은 취약점(CVE-2010-2568)으로 인정되었으며 마이크로소프트에서도 보안 권고문 "Microsoft Security Advisory (2286198) Vulnerability in Windows Shell Could Allow Remote Code Execution"을 공개하였다.

현재 해당 윈도우 쉘 취약점에 영향을 받는 소프트웨어들에 대해서는 아래와 같이 마이크로소프트에서 밝히고 있다.

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 1 and Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems

현재 ASEC에서는 이 번에 발견된 제로 데이 취약점과 이를 악용하는 악성코드들에 대한 상세한 분석을 진행 중에 있으며 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Stuxnet.25720
Win-Trojan/Stuxnet.513536
Win-Trojan/Exploit-lnk

이 번에 발견된 윈도우 쉘 취약점은 아직 마이크로소프트에서 공식 보안 패치가 제공되지 않은 상황이며 이를 악용한 악성코드까지 제작된 상황임으로 각별한 주의가 필요하다.

현재 마이크로소프트에서는 임시 방안으로 다음과 같은 레지스트리(Registry) 수정을 권유하고 있으나 해당 방안을 수행하기 전 반드시 레지스트리를 백업 해두어야 한다.

1. 레지스트리 편집기(Regedit.exe)를 실행하여 아래 이미지와 같이 "lnkfile"를 검색한다.

2. 검색 후 하위 키 값으로 존재하는 "IconHandler"의 기본값을 삭제한다.

3. 해당 레지스트리 키 값을 삭제 후에는 윈도우 시스템을 재부팅 하도록 한다.


그리고 윈도우 시스템에서 실행 중인 WebClient 서비스를 중지 시키는 방식이 있으며 다음과 같은 절차로 적용이 가능하다.

1. [시작] -> [실행]에서 "Services.msc"를 입력하고 [확인]을 클릭한다.

2. 실행된 서비스 목록에서 WebClient 를 찾은 후 더블 클릭을 실행한다.

3. 아래 이미지와 같은 서비스 속성이 나타나면 [시작 유형]을 "사용 안 함"으로 변경하고 하단의 [중지] 버튼을 클릭한 후 [확인] 버튼을 클릭한다.


이 번 윈도우 쉘에 존재하는 제로 데이 취약점을 악용한 악성코드는 최초 USB 저장 장치를 통해 유포된 것으로 보고 있다. 이는 과거 2010년 5월 호주 보안 컨퍼런스에서 악성코드에 감염된 USB 배포를 하였던 사가 있던 만큼 USB 저장 장치 관리에 각별한 주의를 기울여야 한다.

그리고 한국 침해 대응센터(KrCERT/CC)에서 무료로 배포하는 자동 실행 기능 방지 프로그램을 다음 웹 사이트에서 다운로드하여 실행하는 것으로 USB 저장 장치로 유포되는 다른 악성코드들의 감염을 예방 할 수 있다.

댓글