안녕하세요?

이스트소프트 알약 보안대응팀입니다.

1/19일 오전에 증권가에서 주로 많이 사용되는 미스리 메신저를 통한 악성코드 유포가 발견되어 알약 사용자의 주의가 필요한 상황입니다.

이번 악성코드 유포는 미스리 메신저의 웹 서버 취약점을 통해 해커가 1차적으로 악성코드를 업로드 한 후

미스리 메신저에 접속한 사용자들이 감염되는 형태입니다.

특히, 이번 악성코드는 인터넷 익스플로러 6~8의 제로데이(Zeroday) 취약점을 이용하기 때문에

인터넷 익스플로러의 경우는 현재 제공되는 MS 패치가 없는 상태입니다.

미스리 메신저의 웹 서버에서 유포되었던 악성코드는 현재 서버에서 제거가 되었지만

1/19일 오전 이전에 미스리 접속 사용자는 반드시 알약 전용백신으로 악성코드

검사를 수행해야 합니다.

[감염 증상] 

 1) Mswsock32.dll과 imedllhost09.ime 파일을 생성하고 추가적인 악성코드를 다운로드 합니다.

 2) 윈도우 Keyboard Layout에 자신을 등록시키고, 자신의 처음 감염 파일 또한 삭제합니다.

 3) 윈도우의 정상적인 LSP 연결 파일의 레지스트리 경로를 자신의 경로로 변경하고 특정 주소로

     MAC 주소와 프로그램 정보를 전송합니다.

 4) 보안 센터 및 윈도우 메신저 오류나 기능/프로그램 종료가 나타날 수 있습니다.

 5) 일부 PC에서는 Winsock의 변조로 인한 인터넷 접속 불가나 부팅 불가 현상이 나타난 경우도

     보고되었습니다.

링크된 전용백신 파일을 다운로드 받아 PC에서 더블클릭하면 별도의 설치과정 없이 바로

전용 백신이 실행됩니다.

1) 검사를 시작하기 위해서는 "검사" 버튼을 클릭합니다.

2) 악성코드 검사 완료 후에 "치료" 버튼을 누르면 치료가 완료됩니다.