본문 바로가기
악성코드 정보

퀵타임 플레이어 제로 데이 취약점을 악용한 악성코드

by 알 수 없는 사용자 2011. 10. 26.

해외 시각으로 2010년 7월 30일경 일부 해외 보안 업체와 해외 언론을 통해 애플(Apple)사에서 개발한 쿽타임 플레이어(QuickTime Player)에 스택 기반의 버퍼 오버플로우(stack-based buffer overflow) 취약점을 악용한 악성코드가 발견되었음이 알려졌다.


현재 해당 퀵타임 플레이어에 존재하는 취약점은 애플사에서 아직 공식적으로 보안 패치를 제공하지 않는 제로 데이(0-Day, Zero-Day) 취약점이다. 해당 취약점과 관련하여 시큐니아(Secunia)에서는 "Secunia Advisory SA40729 QuickTime Player Streaming Debug Error Logging Buffer Overflow" 보안 권고문을 공개하고 있다.

이 번에 발견된 해당 제로 데이 취약점을 악용하는 악성코드는 아래 이미지와 같이 MOV 확장자를 가지고 있는 동영상 파일이며 파일명 모두 최근 인기를 얻고 있는 영화의 동영상 파일로 위장하고 있다.


해당 동영상 파일들이 실행되면 아래 이미와 같이 백그라운드로 인터넷 익스플로러(Internet Explorer)를 실행 시킨 후 특정 시스템에 존재하는 특정 파일을 다운로드 하도록 하고 있다.


다운로드 된 Music_Installer.exe (208,896 바이트) 해당 파일이 실행되면 감염된 시스템에서 하드웨어 정보와 개인 정보들을 외부로 유출하기 위한 목적으로 제작되어 있다.


현재 ASEC에서는 이 번에 발견된 제로 데이 취약점과 이를 악용하는 악성코드들에 대한 상세한 분석을 진행 중에 있으며 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Quicktm
Win-Trojan/MDrop.208896

ASEC에서 현재까지 파악한 바로는 해당 취약점을 악용한 악성코드가 급격한 증가나 악용 사례가 발견되지 않고 있으나 애플사에서 관련 보안 패치를 제공할 때까지는 MOV 확장자를 가진 동영상 파일을 퀵타임 플레이어로 실행하는 것에 대해 주의를 기울일 필요가 있다.

댓글