본문 바로가기

벌새::Security

AhnLab V3 오진 : MOV/Cve-2011-2140 (2012.5.19)

반응형

국내 보안 업체 안랩(AhnLab) V3 보안 제품에서 인터넷 상에서 제공되는 동영상을 재생할 경우 MOV/Cve-2011-2140 진단명으로 오진하는 문제를 확인하였습니다. 

현재 확인된 오진 경로는 네이버(Naver) 포토 갤러리에 게시된 다양한 동영상을 재생할 경우 동영상 포맷이 mp4 확장자를 가질 경우 MOV/Cve-2011-2140 진단명으로 진단되는 것으로 보입니다.

 

해당 진단명은 Adobe Flash Player 제품의 메모리 변조 취약점을 이용하여 원격 코드 실행이 가능한 CVE-2011-2140 취약점에 대한 진단으로, 주로 주말을 이용하여 온라인 게임 계정 탈취 목적으로 국내 웹 사이트에서 광범위하게 유포되는 악성코드에서 사용되고 있습니다.

 

  웹 사이트 변조로 인한 시스템 점검 중인 사이트를 통한 유포 (2011.10.29)

 

과거 유포 사례를 확인해보면 악성 스크립트를 통해 로딩되는 악성 swf 파일 내에 존재하는 쉘코드(ShellCode)를 통해 e.avi(mp4 포맷) 악성 파일을 통해 코드 실행이 되는 부분에 대한 진단을 목적으로 MOV/Cve-2011-2140 진단명이 이용될 것으로 보입니다. 

실제 진단되는 mp4 파일은 감염되지 않은 정상적인 네이버 비디오 서버의 mp4 파일이며, 이번 진단은 mp4 포맷을 가진 모든 파일에 대해 V3 보안 제품에서 일시적으로 진단하고 있는 것으로 보이므로, 동영상 재생 과정에서 MOV/Cve-2011-2140 진단창이 생성되는 경우에는 치료 버튼을 클릭하지 마시고 그대로 창을 닫으시기 바랍니다.

 

마지막으로 현재 2012.05.20.00 DB 업데이트를 통해 해당 오진 문제가 해결되었으므로 반드시 최신 업데이트를 하시기 바랍니다.

728x90
반응형