곰플레이어에 취약점이 발견되었다.

취약점을 발견한 곳은 베트남이다.
(베트남 백신인 BKAV와 연관된 것으로 보인다.)

베트남에도 곰플레이어가 이용되나 ?!


취약점이 해결된 곰플레이어 2.1.17.4710

취약점이 해결된 곰플레이어 2.1.17.4710




[관련 내용]

- GOM Player Subtitle Buffer Overflow Vulnerability
http://security.bkis.vn/?p=501

- GOM Player SRT Processing Buffer Overflow Vulnerability
http://secunia.com/advisories/34639/

Posted by mstoned7

댓글을 달아 주세요


ANI 파일 취약점을 이용한 악성코드가 계속 등장하고 있다.
최근에 등장한 변형은 백신이 앞부분에서 주로 취약점 코드를 검사해 진단되지 않도록 exploit 코드를 파일 뒷부분으로 옮겨 두었다.

이로써 진단 루틴의 수정은 불가피해졌다.

사용자 삽입 이미지

사용자 삽입 이미지
Posted by mstoned7

댓글을 달아 주세요

2007년 3월 29일 McAfee 와 Trend 에서 새로운 변조된 ANI 파일을 이용한 취약점 공격이 알려진다.

* V3 진단명 : Win-Trojan/Exploit-ANI.B (2007.03.31.00 이후 엔진)
* 기능 : 변조된 ANI 파일을 이용해 취약한 시스템에서 자동으로 파일을 다운로드
           물론 다른 악의적인 일도 가능함


[보안패치]

2007년 4월 4일(수)에 MS07-017 보안패치가 나왔다.

http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx





[관련자료]

- MS 윈도 신규 제로데이 취약점 발견
http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2007033013270958901

- MS 보안취약점 이용 '제로데이 공격' 주의보
http://www.inews24.com/php/news_view.php?g_serial=255041&g_menu=020200

http://www.avertlabs.com/research/blog/?p=237

http://blogs.technet.com/msrc/archive/2007/03/29/microsoft-security-advisory-935423-posted.aspx

http://research.eeye.com/html/alerts/zeroday/20070328.html


- Microsoft Security Advisory (935423)
 Vulnerability in Windows Animated Cursor Handling
 
http://www.microsoft.com/technet/security/advisory/935423.mspx


[파일구조]

ANI 파일은 RIFF 로 시작한다.
초기에 발견된 ANI 파일의 앞부분은 대체로 다음과 같았다.
하지만, 이후 발견되는 변형은 또 틀려졌다.

사용자 삽입 이미지

초기 변조된 ANI 파일


앞부분이 거의 동일하고 파일을 다운로드하는 주소만 달라 가볍게 공통 진단값으로 추가했는데 밤에 접수된 샘플은 오프셋 위치가 조금씩 달라져있었다. 이들 샘플은 상당수 기존 백신에서도 진단되지 않았고 아마도 진단을 회피하기 변형한 것으로 보인다.

사용자 삽입 이미지

초기 버전과 변형의 차이


이들 변형 때문에 변형들도 진단되게 진단방법을 수정했다.



Posted by mstoned7

댓글을 달아 주세요

  1. n0fate 2007.04.02 10:53  댓글주소  수정/삭제  댓글쓰기

    잘보고갑니다. 따로 간단히 분석해서 올려주시니 쉽게 내용파악이 되네요...:)