WMF 트로이목마 제작 툴 발견

WMF 취약점 이용, Exploit 제작 프로그램 추가 발견

지오트 바이러스 분석실(GCERT)에 따르면 “WMF 취약점을 이용한 악성프로그램 유포를 모니터링 과정에서 여러 외국 웹사이트에서 추가적으로 트로이목마를 발견했으며, WMF 취약점을 이용하는 Exploit 제작 프로그램도 추가 발견했다”고 발표했다.

이 제작프로그램은 중국에서 제작된 것으로 추정되며, 아래와 같은 방식으로 WMF 파일을 생성한다.

지오트 관계자에 따르면 “웹에 링크되는 파일이 아닌 로컬 컴퓨터의 윈도우 폴더에 있는 노트패드 프로그램을 연결시켜 모의로 테스트 해 본 결과 정상적으로 시스템폴더에 a.exe 라는 파일로 노트패드 프로그램을 생성하는 것을 확인했다”고 전했다.

먼저 C 드라이브 루트에 test_wmf.exe 라는 생성기를 놓아두고, 취약점을 통해서 설치되는 파일을 URL 이 아닌 notepad.exe 로 링크하였다.

실제로는 특정 웹사이트의 파일을 링크시킨다.

정상적으로 프로그램이 완료된다.

C 드라이브에 exploit.wmf 라는 파일명으로 WMF 익스플로잇 코드가 생성된다.

보안취약점으로 exploit.wmf 가 실행되면 시스템폴더에 a.exe 라는 이름으로 노트패드 프로그램이 생성된다.

지오트 관계자는 “악의적인 의도를 가진 사람이 이 프로그램을 이용하면 특정 웹사이트에서 어떠한 악성프로그램(웜, 바이러스, 트로이목마등)도 사용자 몰래 설치할 수 있기 때문에 사용자들의 각별한 주의가 요망된다”고 당부했다.

Exploit.Win32.IMG-WMF.s 분석 정보

[길민권 기자(is21@infothe.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다