2012.11.01
지난 10월 25일 일반 기업들의 연봉 계약서 내용으로 위장하여 유포된 취약한 한글 파일이 발견되었다. 이 파일은 '연봉계약서.hwp'라는 파일명을 가졌으며 내용은 아래와 같다.
해당 한글 파일은 HwpApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 코드 실행 취약점이다. 이 파일이 실행되면 사용자 모르게 백그라운드로 'system32.dll' 파일을 다음 경로에 생성한다.
- C:\Documents and Settings\Tester\Local Settings\Temp\system32.dll
그리고 생성된 system32.dll 파일은 다시 'AppleSyncNotifier.exe' 파일을 다음 경로에 생성한다.
- C:\Documents and Settings\Tester\시작 메뉴\프로그램\시작프로그램\AppleSyncNotifier.exe
생성된 AppleSyncNotifier.exe 파일은 다음과 같은 악의적인 기능들을 수행한다.
1. 실행 중인 프로세스 리스트 수집
2. 파일 다운로드 및 업로드, 실행
3. 프로세스 강제 종료
감염된 시스템에서 수집된 정보들은 미국에 위치한 특정 시스템으로 HTTP를 이용해 전송된다.
현재 한글과컴퓨터에서는 해당 취약점에 대한 보안 패치를 배포 중이다. 그러므로 관련 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방법이다. Ahn
'AhnLab 보안in' 카테고리의 다른 글
[Tech Report] 아이폰 백업 파일의 흔적을 찾아라 (0) | 2020.04.16 |
---|---|
APT 공격은 대기업만 노린다? (0) | 2020.04.16 |
한글 보안 패치 잊지마세요! (0) | 2020.04.16 |
도둑에게 금고를 맡긴다?! (0) | 2020.04.16 |
국내 유명 웹 하드를 통해 유포된 악성코드 (0) | 2020.04.16 |