네이버 블러그 에서 작성한 문서 입니다.
http://blog.naver.com/qufl1999/10093760350
최근 악성코드 중 ARP Spoofing 증상을 발생하는 악성코드가 확인되었습니다.
해당 악성코드에 대해 조사를 하여 확인된 바 국내의 다수의 사이트에 해당 악성코드를 감염시키는
악성 스크립트가 삽입되어 있음을 확인하였으며 다수의 피해가 우려되어
해당 정보를 공유하고자 해당 문서를 작성합니다.
악성코드 감염 시 나타나는 증상
해당 악성코드는 온라인 게임핵 류 악성코드로 기존 온라인 게임핵과는 달리 ARP Spoofing을 통해 다수의 시스템에 전파를 하게 됩니다. 감염 시 나타나는 세부적인 증상은 아래와 같습니다.
1) 게임 계정 탈취
악성 스크립트가 삽입된 웹사이트 방문 시 s.exe 파일이 실행되면서 C:WindowsSystem32 폴더에 xcvaver0.dll 파일을 생성 합니다. 해당 dll 파일은 키로그 기능이 있어 “던전 앤 파이터, 아이온, 메이플 스토리” 등의 게임의 계정 정보를 외부로 유출하게 됩니다.
2) ARP Spoofing을 통해 악성코드 전파
우선 ARP Spoofing 확인 방법은 명령프롬프트 에서 “arp –a” 명령어를 입력하신 후 나오는 결과에서 아래와 같이 Physical Address (MAC Address) 가 위와 같이 동일한 값이 나타난다면 ARP Spoofing 증상이 있다고 의심할 수 있습니다.
3)웹 페이지 인코딩 깨짐
ARP Spoofing을 통해 악성코드가 삽입된 웹 페이지로 유도되기 때문에 감염된 PC와 같은 대역대의 PC들은 정상적으로 웹을 실행할 수가 없거나 인코딩이 변경 되어 글꼴 깨짐 현상이 나타납니다.
감염여부 확인 방법
해당 악성코드는 아무리 자기 자신이 PC관리를 잘 하였더라도 같은 네트웍에 물려있는 PC가 악성코드에 감염 되었다면
해당 악성코드에 노출되게 되어 특별히 주의를 해야 합니다. 같은 네트웍에 해당 악성코드에 감염된 PC가 있는지
확인하는 방법을 안내 해 드립니다.
1) [시작] – [실행] 을 실행 후 cmd 입력 후 [확인] 버튼을 누릅니다.
2) 명령 프롬프트가 실행이 되면 “arp –a” 입력 후 아래와 같이 동일한 Physical Address 가 존재하는지 확인합니다.
3) 동일한 Physical Address 가 존재한다면 아래 URL에서 “ARP Spoofing 탐지 및 차단 전용백신” 을 다운로드 하신 후 실행하도록 합니다.
[ARP Spoofing 탐지 및 차단 전용백신 링크]
http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?webVaccBoardsVo.seq=73
실행을 한 후 잠시 기다리게 되면 아래와 같이 차단로그가 나타나게 됩니다. 차단된 내용 중 “원격지 컴퓨터 주소(아래 스크린샷의 192.168.0.15)” 의 IP가 해당 악성코드에 감염된 시스템이므로 해당 IP에 해당하는 시스템을 확인하시어 V3 제품으로 검사 및 치료를 진행하시기 바랍니다
감염 시 차단 및 예방 방법
해당 악성코드는 ARP Spoofing 을 통해 같은 네트워크 대역에 있는 모든 시스템에 전파를 시키게 되므로 아래 안내해 드리는 사항에 대해 같은 네트워크에 있는 모든 시스템에 조치를 하여야 합니다.
1. 백신을 최신 버전으로 업데이트 합니다.
2. 아래 마이크로소프트 윈도우 보안 업데이트가 설치되어 있는지 확인하신 후 설치가 되어있지 않다면 설치를 하시기 바랍니다.
Microsoft Internet Explorer iepeers.dll Use-After-Free Exploit (MS10-018)
http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx
Aurora 취약점 (MS10-002)
http://www.microsoft.com/korea/technet/security/Bulletin/ms10-002.mspx
참고 - 해당 악성코드가 삽입 된 수많은 웹 페이지들
p.s 안철수 연구소의 문서
(ARP Spoofing을 통해 전파되는 온라인 게임핵 악성코드)를 바탕으로 작성하였습니다.