Microsoft Video ActiveX Control 취약점을 이용한 악성코드 주의
(MS DirectShow - MPEG2TuneRequest Exploit Zero-Day 공격)
안녕하세요 바이러스체이서 입니다.
2009년 07월 07일 현재 마이크로소프트 사의 Windows OS에 포함되어 있는
Microsoft Video ActiveX Control 제로데이 공격을 이용하는 악성코드가 발견되어 주의가
요청되어 바이러스체이서 보안 위협등급 레벨을 "높음-레벨3" 으로 조정합니다
[영향받는 OS]
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
[내용]
마이크로소프트 사의 Windows OS에 포함되어 있는 Microsoft DirectShow 연결하는
비디오 액티브엑스 컨트롤의 MPEG2Tune 요청 관련 msvidctl.dll (Microsoft DirectShow) 파일의
스택오버 플로우 취약점을 이용하는 악성 스크립트 파일 유포가 발견되어
인터넷 사용자의 주의가 요청됩니다.
해당 취약점은 마이크로소프트 사에서 아직 공식적인 보안패치 파일을 제공하지 않는
Zero-Day 취약점에 해당하며, 다음과 같은 Security Advisory (972890)를 공개한 상태입니다
Microsoft Security Advisory (972890)
Vulnerability in Microsoft Video ActiveX Control Could Allow Remote Code Execution
이번 제로데이 공격코드를 통해 악성코드 유포에 사용되고 있으며, 악성코드를 다운로드 받아
실행할 수 있는 스크립트를 웹 사이트 해킹을 통해 은닉시켜 해킹된 웹사이트에 접속한
사용자들에게 전파될 수 있습니다
현재 유포되는 악성코드는 아래와 같이 진단하고 있으나, 지속적인 변종의 발생 우려가 있습니다.
Trojan.MulDrop.32527
악성코드에 감염될 감염된 시스템의 호스트 파일을 변경하여 보안사이트 접속을 어렵게 하거나
또다른 악성코드들을 다운로드 받아 설치할 수 있으며 설치된 악성코드 중 일부는
ARP Spoofing 기법을 이용하므로 네트워크 트래픽 증가 및 네트워크 이상증상이 발생할 수 있으니
유의하시기 바랍니다.
[조치]
이미 이 취약점은 악성코드(EXE) 유포에 직접적으로 악용이 되고 있으며, MS의 공식 보안패치가
발표되기 전까지는 아래의 MS에서 제시하고 있는 Fix it 을 설치하는 해결방안을 사용할 수 있습니다.
Microsoft : Fix it - Click Here To Kill-Bit MSVidCtl
기업 사이트의 관리자들 중 가능한 경우 아래의 링크들에 대한 사용자의 접근을 차단하시기를
권장 드립니다.
○ 차단 권장 리스트
- IP : 222.189.237.231, 121.14.229.154
감사합니다.