<4D F736F F D2035BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

Size: px

Start display at page:

Download "<4D F736F F D2035BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>"

호정 표
5 years ago
Views:

목차 Part Ⅰ. 4 월의악성코드통계 1. 악성코드통계... 2 (1) 감염악성코드 Top 15... 2 (2) 카테고리별악성코드유형... 3 (3) 카테고리별악성코드비율전월비교... 3 (4) 월별피해신고추이... 4 (5) 월별악성코드 DB 등록추이... 4 2. 악성코드이슈분석 Resume 이력서로위장한악성코드... 5 3. 허니팟 / 트래픽분석.

2 목차 Part Ⅰ. 4 월의악성코드통계 1. 악성코드통계... 2 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 3 (3) 카테고리별악성코드비율전월비교... 3 (4) 월별피해신고추이... 4 (5) 월별악성코드 DB 등록추이 악성코드이슈분석 Resume 이력서로위장한악성코드 허니팟 / 트래픽분석... 8 (1) 상위 Top 10 포트... 8 (2) 상위 Top 5 포트월별추이... 8 (3) 악성트래픽유입추이 스팸메일분석...10 (1) 일별스팸및바이러스통계현황...10 (2) 월별통계현황...10 (3) 스팸메일내의악성코드현황...11 Part Ⅱ. 4 월의보안이슈돋보기 1. 4 월의보안이슈 월의취약점이슈...15 페이지 1

Part Ⅰ 4월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 순위악성코드진단명카테고리 [2010 년 4 월 1 일 ~ 2010 년 4 월 30 일 ] 합계 ( 감염자수 ) 1 1 S.SPY.Lineag-GLG Spyware 59,195 2 1 A.ADV.Admoke Adware 58,704 3 4 S.SPY.OnlineGames-H Spyware 24,497 4 2 V.

3 Part Ⅰ 4월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 순위악성코드진단명카테고리 [2010 년 4 월 1 일 ~ 2010 년 4 월 30 일 ] 합계 ( 감염자수 ) 1 1 S.SPY.Lineag-GLG Spyware 59, A.ADV.Admoke Adware 58, S.SPY.OnlineGames-H Spyware 24, V.WOM.Conficker Worm 22,461 5 New V.DWN.CodeDoctor Trojan 22, S.SPY.WoWar Spyware 21, V.DWN.el.39xxxx Trojan 20,228 8 New Trojan.Peed.Gen Trojan 19, Exploit.Cosmu.A Exploit 16, New Trojan.Fakealert.8101 Trojan 16, New A.ADV.BHO.IESearch Adware 16, New V.DWN.Agent Trojan 13, V.DWN.SystemAny Trojan 12, New V.WOM.Nugg.D Worm 12, New V.DWN.Agent Trojan 10,963 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계이다. 4월의감염악성코드 TOP 15는 S.SPY.Lineag-GLG이 59,195건으로 TOP 15 중 1위를차지하였으며, A.ADV.Admoke이 58,704건으로 2위, S.SPY.OnlineGames-H이 24,497건으로 3위를차지하였다. 이외에도 4월에새로 Top 15에진입한악성코드는 7종이다. 이번달의특이사항은 S.SPY.Lineag-GLG가다시감염순위 1위를탈환했다는점이다. S.SPY.Lineag-GLG는해킹된웹사이트에서유포되거나 USB 이동식디스크를통해서감염되므로 USB의자동실행기능차단및 USB 장치의악성코드검사를반드시수행해야한다. 페이지 2

(2) 카테고리별악성코드유형 취약점 (Exploit) 5% 웜 (Worm) 10% 스파이웨어 (Spyware) 30% 애드웨어 (Adware) 22% 트로이목마

취약점 (Exploit) 악성코드유형별비율은트로이목마 (Trojan) 가 33% 로가장많은비율을차지하고, 애드웨어 (Adware) 가 22%, 스파이웨어 (Spyware)

(3) 카테고리별악성코드비율전월비교 하이재커 (Hijacker) 트로이목마 (Trojan) 취약점 (Exploit) 웜 (Worm) 애드웨어 (Adware) 스파이웨어

00% 3.07% 0.00% 39.25% 30.13% 25.74% 33.

4 (2) 카테고리별악성코드유형 취약점 (Exploit) 5% 웜 (Worm) 10% 스파이웨어 (Spyware) 30% 애드웨어 (Adware) 22% 트로이목마 (Trojan) 33% 애드웨어 (Adware) 트로이목마 (Trojan) 스파이웨어 (Spyware) 웜 (Worm) 하이재커 (Hijacker) 바이러스 (Virus) 취약점 (Exploit) 악성코드유형별비율은트로이목마 (Trojan) 가 33% 로가장많은비율을차지하고, 애드웨어 (Adware) 가 22%, 스파이웨어 (Spyware) 가 30% 의비율을각각차지하고있다. 이번에 39% 의가장높은비율을차지한트로이목마 (Trojan) 는보안이취약한웹사이트에서유포된경우가많이발견되었다. (3) 카테고리별악성코드비율전월비교 하이재커 (Hijacker) 트로이목마 (Trojan) 취약점 (Exploit) 웜 (Worm) 애드웨어 (Adware) 스파이웨어 (Spyware) 백도어 (Backdoor) 바이러스 (Virus) 5.46% 0.00% 3.97% 4.91% 6.25% 10.01% 16.26% 21.65% 0.00% 0.00% 3.07% 0.00% 39.25% 30.13% 25.74% 33.30% 3 월 4 월 0% 20% 40% 60% 80% 100% 카테고리별악성코드비율을전월과비교하면, V.DWN.CodeDoctor 등새로진입한악성코드로인해취약점 (Exploit) 이비율이약 9% 정도증가하였고, 변조된웹사이트에서다운로드되는악성파일로인해스파이웨어 (Spyware) 또한약 8% 이상증가하였다. 페이지 3

5 (4) 월별피해신고추이 [2009 년 5 월 ~ 2010 년 4 월 ] 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 1 월 2 월 3 월 4 월 알약사용자의신고를합산에서산출한결과임 월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프이다. 4월의경우전달보다신고건수가증가했으며새로운취약점을통한공격및악성코드증가로인한요인으로판단된다. (5) 월별악성코드 DB 등록추이 [2009 년 05 월 ~ 2010 년 4 월 ] Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 4

<Resume 이력서위장악성코드의감염순서 > resume.chm 파일을실행하면스크립트를통해 payload.exe( 내부파일 ) 가추가적으로실행되고이후생성되는 udpmon.

6 Part Ⅰ 4 월의악성코드통계 2. 악성코드이슈분석 Resume 이력서로위장한악성코드 최근특정회사들을대상으로 Resume( 이력서 ) 파일로위장한악성코드메일이유포되었다. 메일에첨부된 chm 파일을실행하게되면사용자 PC 에실제이력서양식의화면이보여지게되지만파일내부의스크립트에의해악성코드가시스템에설치된다. <Resume 이력서위장악성코드의감염순서 > resume.chm 파일을실행하면스크립트를통해 payload.exe( 내부파일 ) 가추가적으로실행되고이후생성되는 udpmon.dll을통해악성행위를하게된다. 참고로감염순서에서 spoolss.dll 파일은 udpmon.dll 파일이계속해서실행되기위한방법으로 spoolsv.exe 프로세스가로드 (Load) 하는모듈파일이다. 1) Resume.chm 악성코드분석 페이지 5

$encode"> #@~^4QEAAA==@#@&@#@&Sk NWSRkOlDEd'EP~~,PP,~P,PP,~~P,P,P~P~~,P~P,~P,P~~,PP~~,BI@#@&@#@& \CMPkwc,',ENu&)F8Fqq8FF 0%R%OmCCl F8FqOqq8FqF8qJp@#@&- mdpd2ypxpr% mou Zxls+uffu$

7 CHM 파일 (Microsoft Compiled HTML Help) 은 HTML 문서와이미지등을하나의파일로모아도움말형식으로보여주는구조이다. 즉, HTML 문서를사용하기때문에스크립트실행이가능하고이를통해악성코드를숨김및실행또한가능하다. CHM 파일안의 HTML 문서를보게되면다음의 JScript 가암호화되어있다. <script language="jscript.encode"> \CMPkwc,',ENu&)F8Fqq8FF 0%R%OmCCl mdpd2ypxpr% mou Zxls+uffu md~0t!~x,jl UORSDb Yn`;U 위의스크립트를디코드 (Decode) 하게되면내부에있는 payload.exe 을실행한다는것을알수있다. <object name='help' classid='clsid: aaaa ' codebase='payload.exe'></object> 2) payload.exe 악성코드분석 Payload.exe는추가적인파일 (alg.log) 을 Drop하고, 자신을다시로드 (Load) 해실행시키는역할을수행한다. < 그림 : alg.log 파일생성 > < 그림 : alg.log 파일로드부분 > 3) alg.log 악성코드분석이파일의역할은 Spooler 서비스를찾아구동시키고 spoolss.dll을변조하며 udpmon.dll을 Drop 한다. < 그림 : Spooler 서비스환경변경 > 페이지 6

서비스를 Auto_Start 로수정하여이후악성코드가계속적으로실행되게한다. < 그림 : spoolss.dll 파일의변조 > < 그림 : udpmon.dll 생성후 Spooler 서비스시작 > 4) spoolss.dll 악성코드분석 spoolss.dll은 spoolsv.exe가 Load하는모듈로 spoolsv.exe는프린터서비스를구동하는파일이다.

8 서비스를 Auto_Start 로수정하여이후악성코드가계속적으로실행되게한다. < 그림 : spoolss.dll 파일의변조 > < 그림 : udpmon.dll 생성후 Spooler 서비스시작 > 4) spoolss.dll 악성코드분석 spoolss.dll은 spoolsv.exe가 Load하는모듈로 spoolsv.exe는프린터서비스를구동하는파일이다. 따라서프린터서비스를시작시 spoolsv.exe는 spoolss.dll을 load하게되고 spoolss.dll은다시 udpmon.dll을 load하게된다. spoolss.dll이변조되게되면 EP와.text섹션의 size가변하고.text섹션의할당된공간만큼코드가삽입되어해당코드를확인하면부모프로세스가 spoolsv인지확인하고 udpmon.dll을로드 (Load) 한다. 5) udpmon.dll 악성코드분석이파일은명령을수행하는, 실질적인악성행위의주체파일이다. 파일의생성, 삭제등을원격으로제어할수있다. 접속하는사이트는 이다. 6) 결론 Resume 이력서로위장한악성코드의특징을다시정리해보면다음과같다. 1 CHM 파일의특징을이용 ( 스크립트실행가능 ) 2 Spooler 서비스의특징을이용한 spools.dll 파일의수정 3 여러파일을생성, 모듈화된코드작성 4 send/recv 함수를통한실시간원격제어 이번 Resume 이력서위장악성코드는회사대표메일과다양한직책을맡고있는직원들에게도전달돼사내전산망에급속히확산될수있는가능성이매우높았다. 특히, 회사의인사담당자는직접적으로업무와관련되어있어첨부파일을열어볼가능성이높았으며향후에도유사감염사례가나타날수도있다. 각회사의보안담당자는유사감염사례가나타나지않도록사내보안교육과최신의백신의사용을통해감염위험을크게감소시킬수있을것이다. 페이지 7

9 Part Ⅰ 4월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 21 TCP 6% 1433 TCP 3% 6111 UDP 1% 135 TCP 21 TCP 1433 TCP 6111 UDP 3306 TCP 4899 TCP 135 TCP 2967 TCP 90% 161 UDP 80 TCP 8080 TCP 4월에는 FTP가사용하는기본포트인 21 TCP를노리는트래픽이크게증가했으며, 아이디와패스워드의리스트를사전 (Dictionary) 형식으로가지고있다가대입해보는 Brute-force 방식으로시도한다 UDP 트래픽의경우특정게임에서사용되는포트이므로좀더관찰이필요해보인다. (2) 상위 Top 5 포트월별추이 [2010 년 2 월 ~ 2010 년 4 월 ] 전체적인트래픽의양은매우감소했으나 FTP가기본으로사용하는 21포트에대한사전대입 (Brute-force) 방식의공격은많이증가했다. 135 포트같은경우주로윈도우취약점을노리기때문에보안패치가되어있지않은경우에악성코드에자동으로감염시키기쉽다. 나머지포트또한역시사전대입공격방법 (Brute-force) 을통한계정탈취를노린다. 페이지 8

(3) 악성트래픽유입추이 [2009 년 9 월 ~ 2010 년 4 월 ] 350000 300000 250000 200000 150000 100000 50000 0 2009-09 2009-10 2009-11 2009-12 2010-01 2010-02 2010-03 2010-04

10 (3) 악성트래픽유입추이 [2009 년 9 월 ~ 2010 년 4 월 ] 지난달에비해악성트래픽유입이크게감소했으나이는전체악성코드개수의감소를의미한다고보기는어렵다. 악성트래픽유입이감소했더라도공격시도가완전히사라진것은아니기때문에반드시마이크로소프트의보안패치뿐만아니라 Acrobat Reader(PDF), Flash (SWF) 등많이사용되고있는소프트웨어의보안업데이트도신경써야한다. 일반 PC 사용자입장에서매번스스로찾아서업데이트하는것이어렵다면해당프로그램의자동업데이트기능이나팝업알림을사용해업데이트하는것을권장한다. 페이지 9

11 Part Ⅰ 4월의악성코드통계 3. 스팸메일분석 (1) 일별스팸및바이러스통계현황 350, , , , , ,000 바이러스스팸 50, 일별스팸및바이러스통계현황그래프는하루에수신된악성코드첨부, 스팸메일의개수를나타낸그래프이다. 4월의경우스팸메일과악성코드가첨부된메일발송이전달에비해크게증가하였으며쇼핑몰같은안내메일을위장한스팸메일이국내로유입되기도하였다. (2) 월별통계현황 [2009 년 11 월 ~ 2010 년 4 월 ] 2,500, % 2,000,000 1,500, % 6.6% 3.4% 1,000, ,000 스팸 96.5 스팸 93.3 스팸 % 스팸 % 스팸 97.3 스팸 98.4 바이러스 스팸 0 11 월 12 월 1 월 2 월 3 월 4 월 페이지 10

12 월별통계현황은악성코드첨부및스팸메일이전체메일에서차지하는비율을나타내는그래프이다. 4월달스팸메일은 98.4%, 바이러스메일은 1.5% 를차지하였다. 3월에비해스팸메일이약 1.1% 증가하였으며, 바이러스메일또한약 1.1% 증가하였다. (3) 스팸메일내의악성코드현황 [2010 년 4 월 1 일 ~ 2010 년 4 월 30 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Virut-T 15, % 2 Mal/ZipMal-B 5, % 3 W32/MyDoom-H 3, % 4 W32/Mytob-C 2, % 5 VPS DDoS-2 1, % 6 Troj/CryptBx-ZP % 7 W32/MyDoom-BZ % 8 Troj/BredoZp-S % 9 W32/Sality-I % 10 W32/MyDoom-Gen % 스팸메일내의악성코드현황은 3월바이러스메일에서발견된악성코드중 Top 10을뽑은그래프이다. 현재 W32/Virut-T이 43.82% 로계속 1위를차지하고있다. 2위는 15.74% 를차지한 Mal/ZipMal-B, 3위는 11.49% 를차지한 W32/MyDoom-H이다. 특히, 4월달에는 MyDoom과관련된스팸메일들이지속적으로나타나거나새롭게등장했으며 MyDoom 악성코드확산이활발함을알수있다. 페이지 11

Part Ⅱ 4 월의이슈돋보기 1. 4 월의보안이슈 4월에는사용자 ID/ 패스워드를일본으로유출시키는악성코드출현및병원홈페이지해킹후진료기록삭제한중학생해커입건, 맥아피 Windows XP 정상파일오진으로대규모 PC 먹통현상발생소식등다양한보안이슈들이많았습니다.

이번에발견된악성코드는 PC 사용자가입력한 ID/ 패스워드정보를빼내일본으로유출시키는키로거 (Keylogger) 형이며, 인터넷카페와블로그의첨부파일을통해급속히되어알약고객지원팀을통해감염및피해신고건수가크게늘었습니다. 악성코드의주된특징은 PC 사용자가키보드로입력한 ID/ 패스워드를 system.

13 Part Ⅱ 4 월의이슈돋보기 1. 4 월의보안이슈 4월에는사용자 ID/ 패스워드를일본으로유출시키는악성코드출현및병원홈페이지해킹후진료기록삭제한중학생해커입건, 맥아피 Windows XP 정상파일오진으로대규모 PC 먹통현상발생소식등다양한보안이슈들이많았습니다. 사용자 ID/ 패스워드를일본으로유출시키는악성코드출현최근개인정보와관련된보안사고가연이어발생하고있는가운데인터넷사이트의로그인정보 (ID/ 패스워드 ) 를일본으로유출시키는악성코드가발견되었습니다. 이번에발견된악성코드는 PC 사용자가입력한 ID/ 패스워드정보를빼내일본으로유출시키는키로거 (Keylogger) 형이며, 인터넷카페와블로그의첨부파일을통해급속히되어알약고객지원팀을통해감염및피해신고건수가크게늘었습니다. 악성코드의주된특징은 PC 사용자가키보드로입력한 ID/ 패스워드를 system.ini 파일에암호화시켜저장한후일본으로전송시키며, 전송다음 system.ini 파일을악성코드가스스로삭제해자신의 ID/ 패스워드유출여부를판단하기매우어려운특징을가지고있습니다. 현재까지파악된감염경로는인터넷카페나블로그의첨부파일로악성 ActiveX 파일을올려놓은후카페나블로그를정상적으로사용하기위한필수 ActiveX 설치파일이라고 PC 사용자를현혹시켜설치하게만드는구조입니다. < 암호화처리후일본으로유출되는로그인정보 (system.ini) 파일 > < 유출되는서버의국가별 IP 추적결과 > 페이지 12

병원홈페이지해킹후진료기록삭제한중학생해커입건청주의모병원홈페이지를해킹후진료기록및홈페이지를훼손한중학생해커 2명이경찰에입건되었습니다.

최근 SQL Injection, XSS 등웹해킹을시도할수있는공격툴들이너무나광범위하게유포되고있으며,

국내에서는현재도 SQL Injection 공격시도가많이발생하고있는상황이며, 무료웹방화벽설치및웹사이트의취약점제거노력등을충분히실행해야만예방가능합니다.

악성코드방지합의방송통신위원회에서는중국북경에서중국공업정보화부와 2010년한중정보보호국장급회의를통해해킹과악성코드, 스팸, 개인정보유출등에대해양국이공동대응하기로합의하였습니다.

14 병원홈페이지해킹후진료기록삭제한중학생해커입건청주의모병원홈페이지를해킹후진료기록및홈페이지를훼손한중학생해커 2명이경찰에입건되었습니다. 경찰은이들이병원홈페이지를해킹하면서 SQL Injection 공격기법을사용했으며다른병원에까지추가적인해킹을시도한정황이포착되었다고밝혔습니다. 최근 SQL Injection, XSS 등웹해킹을시도할수있는공격툴들이너무나광범위하게유포되고있으며, GUI로제작되어있어해킹에대한별다른전문지식이없어도클릭몇번만으로도쉽게공격시도가가능합니다. 국내에서는현재도 SQL Injection 공격시도가많이발생하고있는상황이며, 무료웹방화벽설치및웹사이트의취약점제거노력등을충분히실행해야만예방가능합니다. <GUI 로제작되어별다른웹해킹지식없어도사용가능한 SQL Injection 공격도구들 > 한 중정보보호국장급회의에서해킹, 악성코드방지합의방송통신위원회에서는중국북경에서중국공업정보화부와 2010년한중정보보호국장급회의를통해해킹과악성코드, 스팸, 개인정보유출등에대해양국이공동대응하기로합의하였습니다. 이번회의에서는우리나라의주민등록번호등개인정보가중국에서과도하게노출되는문제등민감한사안에대한정부차원의심도있는논의가진행된것으로알려졌으며, 개인정보침해, 해킹 바이러스, 불법스팸등인터넷역기능을해소하기위한정책과제도및기술에대한의견교환을나누었습니다. 이제양국정부간의의견교환및공유가진행되면서민간차원에서다루어질수없던내용에대해서도대응이가능해져국내인터넷침해사고감소에어느정도기여를할것인지기대를모으고있습니다. <2010 년한 중정보보호국장급회의, 방송통신위원회 - 중국공업정보화부 > 페이지 13

아프리카, 해킹의새로운거점으로등극? 美 FBI에서는최근아프리카대륙의사이버범죄가크게늘어나고있으며, 개인용 PC들이악성코드에 80% 이상감염된것으로추정된다고밝혔습니다. 또한, 아프리카에는현재사이버범죄를처벌한법적제도도제대로갖추어지지않은나라들이많아새로운해킹위험국가로떠오르고있는실정입니다.

국내 POS에서신용카드정보훔친해커루마니아서검거지난 8월부터올해 1월까지국내음식점과주유소등에설치된 POS 시스템에악성코드를설치한후신용카드결제고객의정보를훔친해커가루마니아에서검거되었습니다. 경찰은루마니아현지경찰에서피의자신분으로조사를받고있는해커의혐의사실과신원을통보받을예정이며, 국제밀매조직원인말레이시아인에대해서는인터폴과공조해행방을쫓고있다고밝혔습니다.

15 아프리카, 해킹의새로운거점으로등극? 美 FBI에서는최근아프리카대륙의사이버범죄가크게늘어나고있으며, 개인용 PC들이악성코드에 80% 이상감염된것으로추정된다고밝혔습니다. 또한, 아프리카에는현재사이버범죄를처벌한법적제도도제대로갖추어지지않은나라들이많아새로운해킹위험국가로떠오르고있는실정입니다. 현재아프리카에서는약 1억대의 PC에보급된것으로파악되고있으며이들 80% 의 PC 가악성코드에감염된상태라면이인프라를활용한 DDoS 공격도충분히가능해이들 PC들의악성코드제거노력이절실한상황입니다. 국내 POS에서신용카드정보훔친해커루마니아서검거지난 8월부터올해 1월까지국내음식점과주유소등에설치된 POS 시스템에악성코드를설치한후신용카드결제고객의정보를훔친해커가루마니아에서검거되었습니다. 경찰은루마니아현지경찰에서피의자신분으로조사를받고있는해커의혐의사실과신원을통보받을예정이며, 국제밀매조직원인말레이시아인에대해서는인터폴과공조해행방을쫓고있다고밝혔습니다. 이외에도국내밀반입총책엄모, 여모씨, 국내신용카드위조단최모, 김모씨를구속하고나모씨를불구속입건했습니다. 이들은 49개국에서 14억상당의부정결제를시도했고이중 6억 7천만원상당이결제에성공한것으로드러났으며현재까지 10만여개의신용카드정보가유출된것으로경찰은보고있습니다. 맥아피 Windows XP 정상파일오진으로대규모 PC 먹통현상발생 4월 21일맥아피 (McAfee) 의악성코드 DB 업데이트과정에서정상적인윈도우파일 (svchost.exe) 을악성코드로오진해정상적인부팅이되지않거나인터넷이안되는 PC들이대규모로발생하였습니다. 미국에서는일부주의 911 신고서비스가마비되었으며병원들의수술스케줄이미루어지는등큰소동이벌어졌습니다. 국내에서도맥아피 OEM 백신을사용하는 PC에서동일피해가나타나 OEM 백신이설치된 PC 이용자들이 A/S센터에방문하거나윈도우를재설치하는등의큰불편을겪었습니다. 페이지 14

16 Part Ⅱ 4 월의이슈돋보기 2. 4 월의취약점이슈 Microsoft 4월정기보안업데이트 Windows Media Player의취약점으로인한원격코드실행문제, Exchange 및 Windows SMTP 취약점으로인한서비스거부문제, SMB 클라이언트의취약점으로인한원격코드실행문제해결등을포함한 4월정기보안업데이트를발표하였습니다. < 해당제품 > Microsoft Windows 2000 SP4, Windows XP, Windows Vista, Windows 7 Microsoft Windows 2003 Server, Windows 2008 Server (MS10-019~MS10-022) Microsoft Office XP/2003/2007 (MS10-023) Microsoft Windows 2000 SP4, Windows XP, Windows 2003, Windows 2008, Exchange Server 2000/2003/2007/2010 (MS10-024) Microsoft Windows 2000 SP4 (MS10-025) Microsoft Windows 2000 SP4, Windows XP, Windows Vista, Windows 2003 Server, Windows 2008 Server (MS10-026) Microsoft Windows 2000 SP4, Windows XP (MS10-027) Microsoft Visio 2002/2003/2007 (MS10-028) Microsoft Windows XP, Windows 2003, Windows Vista, Windows 2008 Server (MS10-029) < 취약점목록 > MS (981210) : Windows의취약점으로인한원격코드실행문제점 MS (980232) : SMB 클라이언트의취약점으로인한원격코드실행문제점 MS (980858) : Windows Media Services의취약점으로인한원격코드실행문제점 MS (977816) : MPEG Layer-3 코덱의취약점으로인한원격코드실행문제점 MS (979402) : Windows Media Player의취약점으로인한원격코드실행문제점 MS (979683) : Windows 커널의취약점으로인한권한상승문제점 MS (981169) : VBScript의취약점으로인한원격코드실행취약점 MS (981160) : Office Publisher의취약점으로인한원격코드실행문제점 MS (981832): Exchange 및 Windows SMTP 취약점으로인한서비스거부문제점 MS (980094) : Microsoft Visio의취약점으로인한원격코드실행문제점 MS (978338) : Windows ISATAP 구성요소의취약점으로인한스푸핑허용문제점 < 해결책 > Windows Update를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개별적인패치파일을다운로드받을수있습니다. 한글 : 영문 : 페이지 15

17 Adobe Flash Player, Acrobat 정기보안업데이트 Adobe 사의아크로뱃 (Acrobat) 제품에서소프트웨어를비정상적으로종료시키거나임의의명령을실행시키는취약점에대한보안패치가발표되어업데이트설치를권고합니다. < 취약점목록 > - Cross-site scripting vulnerability (CVE ) - Prefix protocol handler vulnerability (CVE ) - Denial of service vulnerability (CVE , CVE , CVE ) - Memory corruption vulnerability (CVE , CVE , CVE , CVE ) - Font handling vulnerability (CVE ) - Buffer overflow vulnerability (CVE , CVE , CVE , CVE ) - Heap-based overflow vulnerability (CVE ) < 해당제품 > Adobe Acrobat 및 이하버전 < 해결책 > - Adobe Flash Player와 Acrobat를최신버전으로업그레이드합니다. Flash : Air : Acrobat : < 관련홈페이지 > 4월 Oracle Critical Patch Update Oracle 사의제품을대상으로다수의보안패치를묶어 4월 14일에발표하였습니다. 국내에서는오라클제품과미들웨어제품들의사용처가매우많으므로 DB의기밀성과무결성을보존하기위해취약점패치를권고합니다. < 해당제품 > Oracle Database 11g/10g/9i Oracle Application Server 10g Oracle Collaboration Suite 10g Oracle E-Business Suite Release 12/11i Oracle Transportation Manager Oracle Communications Order and Service Management 2.8.0, 6.2~6.3.1 등 페이지 16

18 < 해결책 > - "Oracle Critical Patch Update - April 2010" 문서를참조하고제품공급사나유지보수업체와의협의 / 검토후패치적용을권장합니다. 오라클제품사이트에서부득이하게보안업데이트적용을연기해야하는경우 - 불필요한계정을삭제하고기본패스워드변경합니다. - 데이터베이스접근통제를구현하여사용자에게허가되는권한을최소화시킵니다. - DB 보안제품을설치합니다. 공개웹게시판제로보드 XE의 XSS 취약점국내 PHP 기반의공개웹게시판인제로보드 XE에서 XSS 및 CSRF 취약점이발견되이를통한홈페이지변조및원격실행이가능하고, 추가적으로관리자권한을획득할수도있는취약점이발견되었습니다. < 해당제품 > 제로보드 XE 이하버전 < 해결책 > 이미취약한버전의제로보드 XE를운영하고있는경우공식사이트에취약점이패치된 xe changed.tgz 를다운로드받아압축을해제하여 config.inc.php 파일과 func.inc.php 파일을운영중인 XE의./config 디렉토리에설치합니다. 또한 communication.controller.php 파일은운영중인 XE의./modules/communication 디렉토리에설치합니다. 새로구축하는홈페이지에서제로보드를사용할경우제로보드 XE 버전을내려받아설치해야합니다. < 관련홈페이지 > Microsoft Windows Media 보안업데이트재설치권고 4월 14일에배포된 Microsoft 4월정기보안업데이트에서윈도우 2000 OS의패치가제대로적용되지않는문제가발견되어 MS측에서다시수정패치를발표했습니다. < 해결책 > 본보안업데이트의재설치는 Windows 2000 SP4 시스템에서만해당됩니다. - Windows Update를재수행하거나 Microsoft 홈페이지에서해당취약점들의개별적인패치파일을다운로드받아재설치합니다. 한글 : 영문 : 페이지 17

Contact us 이스트소프트알약긴급대응팀 Tel : 02-881-2364 E-mail

19 Contact us 이스트소프트알약긴급대응팀 Tel : help@alyac.co.kr : 알약사이트 : 페이지 18

<4D F736F F D2038BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D F736F F D2038BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378> 목차 Part Ⅰ. 7 월의악성코드통계 1. 악성코드통계... 2 (1) 감염악성코드 Top 15... 2 (2) 카테고리별악성코드유형... 3 (3) 카테고리별악성코드비율전월비교... 3 (4) 월별피해신고추이... 4 (5) 월별악성코드 DB 등록추이... 4 2. 악성코드이슈분석 파일감염으로게임계정을훔치는 S.SPY.Wow.abc... 5 3. 허니팟