참... 오랜만에 대규모의 해킹공격 소식이다...
이거뭐 기뻐하긴 너무 그렇잖아...
이번 공격은 이미 널리~~ 알려질대로 알려진(뭐... MS에서 패치도 않하니.. 알려졌다고 해야하나 말아야 하나...) 스트리밍에 관한 버퍼오버플로우를 이용한 공격이다.
(msvidctl.dll의 버퍼 오버플로우 관련된 공격이다.)
윈도우 스트리밍의 보안문제는 이전부터 시끄러웠지만,
그에 대한 패치는.. 영 시원찮았다.
그런점에선 역시 MS라는 이야기가 나올정도...
tv튜너를 지원하는 MPEG2TuneReuqest ActiveX의 허점을 이용한 이번 해킹공격으로
감염된 해당 컴퓨터들에 봇을 삽입 리스트를 다운받아, 해당 리스트에 있는
사이트들로 패킷을 보내는 전형적(?)인 DDOS공격이다.
알면서도 막을수 없는게 이 DDOS의 공격.
알려진 바로는 감연된 PC에서 초당 1,050 패킷으로 100 킬로 바이트 정도로 사이트로의 전송을 한다고 한다. 이에 해당 리스트에 있는 사이트들은 한 PC당 초당 100 패킷, 7 킬로바이트 정도된다고 하는데, 이정도의 양(?)으로 서버다운까지 일으켰다면, 이미 상당수의 감염PC가 있다는 이야기.
주요 리스트에 우리나라 관공서 뿐만아니라, 옥션, 농협,등의 쇼핑몰, 은행까지 있으니 참...
옥션이나 농협은 해커(?)들의 주 활동무대가 되어버렸다....
이 악성코드는 msiexec2.exe(파일길이 : 33,841 바이트) 로 알려저 있고, v3에서 Win-Trojan/Agent.33841로 나타난다. 실행시 uregvs.nls’를 생성, 내부에 리스트를 가진것으로 보도되고 있다. 현재 알려진 dll파일은 perfvwr.dll(파일 길이 : 65,536 바이트, V3 진단명 : Win-Trojan/Agent.65536.VE)과 wmiconf.dll(파일 길이 : 67,072 바이트, V3 진단명 : Win-Trojan/Agent.67072.DL).
이넘들은 흔히 말하는 제로데이공격(보안관련 버그등이 밝혀진 시점과 거의 동일한 시점에 바이러스등을 만들어 공격하는 형태).
이런 공격들은 손쉽게 변종들을 생산해 낼수 있어서, 또다른 문제가 발생할 수도 있다.
이미 이러한 상태가 발생했음에도 MS에서는 패치가 없었다고한다.
NSHC에서는 비공식 패치를 긴급 발표했는데,
링크를 따라가면 설치할수 있다.
PS1)
해당 보안패치는 문제가 되는 msvidctl.dll 파일을 사용을 금지하는 내용의 임시적인 패치사항이다. 현재 MS에서 관련 보안 패치를 마련중이라고는 하나... 그동안의 문제가 더크니...
해당 패치를 받을 경우, 기존에 실행이되던 일부 동영상이 실행이 않될수도 있으니, 감안을 하고 패치를 하길바람.
PS2)
안철수 연구소에서 V3백신을 업데이트 하였다고 한다. 이미 V3를 사용중인 사람들은 업데이트후 치료를 하면될듯하고, 사용자가 아닌 사람들을 위해서 안철수연구소에서 무료배포하고있는 툴이 있다. 아래 링크에서 다운을 받아 치료하자.
