PDF 취약점을 이용해 감염되는 악성코드 주의
안녕하세요. 이스트소프트 알약 보안대응팀입니다.악의적으로 작성된 PDF파일 실행 시, 윈도우 라이브러리 호출절차의 구조적 결함을 이용해 악성코드를 감염시키는 문제가 발생하고 있습니다.
PDF 문서를 실행할 때 오류가 발생하면 오류처리를 위해 윈도우 시스템 폴더에 위치하는 oleacc.dll을 로드하게 되는데, 임의의 가짜 oleacc.dll 파일이 PDF문서가 실행된 폴더에 위치하는 경우, 윈도우 라이브러리 호출 순서에 의하여 정상 DLL이 아닌 악의적으로 작성된 가짜 oleacc.dll가 로딩되어 악성코드 감염이 발생합니다. oleacc.dll에는 또 다른 악성파일을 실행하는 코드가 포함되어 있으며, 폴더나 압축파일등에 PDF문서와 oleacc.dll 파일이 함께 있는 경우에는 악성코드로 의심하여 실행하지 말아야 합니다.
<감염 절차>
영향 받는 Adobe Reader 버전 : Adobe Reader 9.4 이하
따라서, 9.4 버전 이하의 Adobe Reader를 사용하고 있는 고객 께서는 반드시 아래의 사이트를 방문하여 Adobe Reader를 최신버전으로 업데이트 하시기 바랍니다.
Adobe Reader 업데이트하러가기: http://get.adobe.com/kr/reader/
현재 알약에서는 이 악성코드를 K.EXP.CVE-2011-2100, Exploit.CVE-2011-2100, K.EXP.PDF.CVE-2011-2100, Exploit.PDF.CVE-2011-2100 로 진단하고 있으며, 제거가 가능합니다. 감염 예방을 위해 윈도우 및 주요 프로그램들의 보안패치와 알약의 DB를 항상 최신버전으로 유지하시고, [실시간 감시] 기능과 [자가보호] 기능을 꼭 활성화 하시기 바랍니다.
[치료 방법]
1) 아래의 사이트를 방문하여 Adobe Reader를 최신버전으로 업데이트 합니다.http://get.adobe.com/kr/reader/2) '알약 업데이트'를 실행하여 알약을 최신버전으로 업데이트 합니다.3) 실시간 감시 기능 및 자가보호 기능을 활성화 합니다.4) 알약의 정밀검사 기능을 실행 후 탐지된 악성코드를 치료합니다.
[예방 방법]
1) 아래의 사이트를 방문하여 Adobe Reader를 최신버전으로 업데이트 합니다.http://get.adobe.com/kr/reader/2) 알약의 DB 업데이트 상태를 항상 최신으로 유지해야 합니다.3) 알약의 실시간 감시 및 자가보호 기능을 항상 활성화 하여, 악성코드의 감염을 사전에 차단합니다.