보안 전문 기업인 Norman에서 근무하는 보안 전문가에 따르면 파이어폭스(Firefox) 브라우저의 취약점을 이용하여 트로이목마를 PC에 다운로드케하는 공격이 발견되었다고 합니다.

이 공격은 노벨상 웹사이트의 해킹을 조사하는 과정에서 발견되었으며, 웹사이트의 해킹 뿐만 아니라 변조까지 이뤄진 것으로 알려졌습니다.

이 취약점은 파이어폭스 v3.5와 v3.6 버전에서 발생하고 있으며 아직까지 구체적인 공격 대상이 밝혀지지는 않았습니다.

취약점을 통해 공격이 성공적으로 이뤄지면, %WINDOWS%\temp 폴더에 symantec.exe 라는 이름의 트로이목마 설치 프로그램을 다운로드합니다.

그리고, 윈도우 부팅시에 자동으로 시작되도록 아래 레지스트리에 경로를 등록합니다.

* HKCU\Software\Microsoft\Windows\CurrentVersion\Run
* HKLM\Software\Microsoft\Windows\CurrentVersion\Run

설치가 완료되면 몇가지 의심스러운 동작을 수행하는데 다음과 같습니다.

* nobel.usagov.mooo.com, update.microsoft.com 사이트에 HTTP(#80) 포트로 접속 시도
* l-3com.dyndns-work.com, l-3com.dyndns.tv 에 접속을 시도

하지만, 어떠한 연유로 microsoft.com에 접속하는지 아직 명확히 밝혀진 점은 없습니다.

최근에 발생하는 보안 이슈들을 살펴 보면, 윈도우 운영체제 보다는 아도브(PDF), 자바와 같이 애플리케이션 단에서 발생하는 경우가 더 많습니다. Secunia의 PSI와 같은 보조 솔루션을 심각하게 검토해야 할 단계가 아닌지 모르겠습니다.

Secunia의 PSI(Personal Software Inspector)
http://moonslab.com/408

출처: http://www.norman.com/security_center/virus_description_archive/129146/
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요



    Web Analytics Blogs Directory