안녕하세요? 이스트소프트 알약 보안대응팀입니다.
1/19일 오전에 증권가에서 주로 많이 사용되는 미스리 메신저를 통한 악성코드 유포가 발견되어 알약 사용자의 주의가 필요한 상황입니다.

이번 악성코드 유포는 미스리 메신저의 웹 서버 취약점을 통해 해커가 1차적으로 악성코드를 업로드 한 후 미스리 메신저에 접속한 사용자들이 감염되는 형태입니다. 특히, 이번 악성코드는 인터넷 익스플로러 6~8의 제로데이(Zeroday) 취약점을 이용하기 때문에 인터넷 익스플로러의 경우는 현재 제공되는 MS 패치가 없는 상태입니다.

미스리 메신저의 웹 서버에서 유포되었던 악성코드는 현재 서버에서 제거가 되었지만 1/19일 오전 이전에 미스리 접속사용자는 반드시 알약 전용백신으로 악성코드 검사를 수행해야 합니다. 현재 알약 DB는 곧 업데이트가 될 예정이며, 전용백신을 통해서 치료가 가능하므로 전용백신으로 검사 및 치료를 수행하시기 바랍니다.

[전용백신 다운로드]

[감염 증상]

1) Mswsock32.dll과 imedllhost09.ime 파일을 생성하고 추가적인 악성코드를 다운로드 합니다.
2) 윈도우 Keyboard Layout에 자신을 등록시키고, 자신의 처음 감염 파일 또한 삭제합니다.
3) 윈도우의 정상적인 LSP 연결 파일의 레지스트리 경로를 자신의 경로로 변경하고 특정 주소로 MAC 주소와 프로그램 정보를 전송합니다.
4) 보안 센터 및 윈도우 메신저 오류나 기능/프로그램 종료가 나타날 수 있습니다.
5) 일부 PC에서는 Winsock의 변조로 인한 인터넷 접속 불가나 부팅 불가 현상이 나타난 경우도 보고되었습니다.

[치료방법]

현재 알약 전용백신에서는 해당 악성코드를 V.TRJ.KillAV.36864, V.DRP.Agent.24554로 진단 및 치료하고 있으며, 추가적으로 다운로드 받는 파일 또한 V.TRJ.Agent.ADS.13328, V.DRP.DDoS.Agent.ulo로 진단 및 치료가 가능합니다. 이미 감염된 PC에서는 반드시 안전모드에서 알약 전용백신을 실행하여 검사를 실시해야 합니다.

* 윈도우 Vista, 7 사용자는 관리자 모드로 검사 및 치료를 수행해야 합니다.

[예방 방법]

1) 알약 DB 업데이트 상황을 항상 최신으로 유지해야 합니다.
2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.
3) 인터넷 익스플로러를 사용하는 사용자들은 임시로 도구 -> 인터넷 옵션 -> 보안 탭 -> 해당 영역 선택 -> 보안 수준을 "높음"으로 변경하거나 "사용자 지정 수준"을 선택 후 Active Scripting 항목을 "사용 안함" 또는 "확인"으로 변경합니다.