안녕하십니까 바이러스 체이서 침해사고 대응센터입니다.□ 내용o 설명-최근 악성코드가 이용하는 원격코드실행 Zero-day공격에 대한 보안 업데이트가 발표되었음-Windows shell에서 Lnk(단축아이콘)을 처리는 하는 과정에서 원격 코드가 실행이 가능한 취약점 발견-바이러스 체이서는 현재 다음과 같이 진단하고 있음 - Trojan.Stuxnet.1□ 영향o 원격 코드 실행□ 관련 취약점o CVE-2010-2568[
http://www.securityfocus.com/bid/41732]□ 영향을 받는 소프트웨어- Windows XP SP2- Windows XP SP3- Windows XP Professional x64 Edition SP2- Windows Server 2003 SP2- Windows Server 2003 x64 Edition SP2- Windows Server 2003 with SP2 for Itanium-based Systems- Windows Vista SP1, SP2- Windows Vista x64 Edition SP1, SP2- Windows Server 2008 for 32-bit Systems, SP2- Windows Server 2008 for x64-based Systems, SP2- Windows Server 2008 for Itanium-based Systems, SP2- Windows 7 for 32-bit Systems- Windows 7 for x64-based Systems- Windows Server 2008 R2 for x64-based Systems- Windows Server 2008 R2 for Itanium-based Systems□ 임시 조치- 현재 보안업데이트 패치가 없는 상황이기 때문에 아래와 같이 임시 조치를 한다.방법 1.레지스트리 편집기를 이용하여 임시 조치1.)Regdit.exe 실행2.)HKCR\\\\lnkfile\\\\shellex\\\\IconHandler로 이동3.)해당키값 내보내기 하여 백업4.)해당 레지스트리의 키값 제거(공백처리)5.)윈도우즈 재시작방법 2.WebClient 서비스를 정지1.)시작->실행->services.msc 입력 후 서비스 관리자 시행2.)WebCliet 서비스 선택 후 오른쪽 마우스로 속성 메뉴 클릭3.)시작 유형->"사용 안함"으로 변경4.)서비스 관리 프로그램 종료□ 관련 싸이트-
http://www.microsoft.com/technet/security/advisory/2286198.mspx