시만텍 보안 연구소(Symantec Response Center)는 야후! 웹 기반 이메일 프로그램의 취약점을 공격하는 새로운 자바스크립트 웜, JS.Yamanner@m을 발견했다고 밝히고, 사용자들의 주의를 촉구했다.
JS.Yamanner@m은 이 웜에 감염된 이메일을 열어볼 경우 해당 야후! 메일 사용자의 주소록에 있는 이메일 주소로 발송된다. 또한, JS.Yamanner@m은 수집된 이메일 주소를 인터넷 상의 원격 서버로 보내게 된다. 이 위협은 @yahoo.com 이나 @yahoogroups.com 계정 사용자에게만 영향을 미치게 되며, 야후! 메일 베타 버전 사용자들은 이 웜의 위협에 노출되지 않은 것으로 드러났다.
JS.Yamanner 웜은 HTML 이메일에 내장된 스크립트가 사용자 브라우저 상에서 실행되도록 하는 취약점을 공격한다. 일반적으로, 이 스크립트는 보안상의 이유로 인해 야후! 메일에서 차단된다. 시만텍 보안 연구소는 JS.Yamanner 웜을 최고 5등급의 위협 카테고리 중 2등급으로 분류했다.
JS.Yamanner 웜이 보내는 이메일은 다음과 같은 제목 및 내용으로 구별이 가능하다.
보낸사람: av3[at]yahoo.com
제목: New Graphic Site
내용: this is test
또한, 만약 사용자가 무심코 이 웜에 감염된 메일을 열 경우에는 [http://]www.av3.net/index.htm 이라는 URL의 웹 페이지로 연결될 수 있다.
시만텍 보안 연구소 데이브 콜 (Dave Cole) 이사는 “이 웜은 최근 몇 년간 보아온 전통적인 대량 메일 발송 웜의 변종”이라면서 “감염 및 확산을 위해서는 첨부 파일을 열어야만 했던 앞선 웜들과는 달리, JS.Yamanner 웜은 알려지지 않았던 야후! 메일 프로그램의 보안 취약점을 이용하고 있다. 이를 통해 다른 야후! 메일 사용자들에게 확산되는 것은 물론, 향후 공격을 위해 사용자 정보를 수집하게 된다”고 밝혔다.
야후! 메일은 널리 사용되고 있는 이메일 툴로, 이러한 종류의 위협에 노출된 경우가 드물었지만, 이번 웜으로 인해 상당수의 인터넷 사용자가 공격에 노출될 가능성이 생기게 됐다. 특히 현재 관련 패치가 제공되지 않은 상황이기 때문에, 시만텍은 사용자들에게 안티바이러스 정의와 방화벽 시그너처를 업데이트하고 av3[at]yahoo.com 로부터 발송된 이메일을 차단을 권고한다.
시만텍은 현재 새로운 바이러스 정의를 제공, 고객들을 JS.Yamanner로부터 보호하고 있다. 보다 자세한 정보는 시만텍 보안 연구소 웹사이트 http://securityresponse.symantec.com/ 에서 제공된다.
시만텍 보안 연구소는 계속해서 이번 위협을 모니터링 및 분석하고 필요한 업데이트를 제공할 예정이다.
|
