PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2010/09/09 12:23:13
Name 멋진벼리~
Subject [일반] [보안]최근 유행하는 악성코드 - www.xzjiayuan.com
네이버 블러그 에서 작성한 문서 입니다.
http://blog.naver.com/qufl1999/10093760350



최근 악성코드 중 ARP Spoofing 증상을 발생하는 악성코드가 확인되었습니다.


 


해당 악성코드에 대해 조사를 하여 확인된 바 국내의 다수의 사이트에 해당 악성코드를 감염시키는


 


악성 스크립트가 삽입되어 있음을 확인하였으며 다수의 피해가 우려되어


 


해당 정보를 공유하고자 해당 문서를 작성합니다.


 


악성코드 감염 시 나타나는 증상


 해당 악성코드는 온라인 게임핵 류 악성코드로 기존 온라인 게임핵과는 달리 ARP Spoofing을 통해 다수의 시스템에 전파를 하게 됩니다. 감염 시 나타나는 세부적인 증상은 아래와 같습니다.


 


1) 게임 계정 탈취


 악성 스크립트가 삽입된 웹사이트 방문 시 s.exe 파일이 실행되면서 C:WindowsSystem32 폴더에 xcvaver0.dll 파일을 생성 합니다. 해당 dll 파일은 키로그 기능이 있어 던전 앤 파이터, 아이온, 메이플 스토리등의 게임의 계정 정보를 외부로 유출하게 됩니다.


 


2) ARP Spoofing을 통해 악성코드 전파


 우선 ARP Spoofing 확인 방법은 명령프롬프트 에서 “arp –a” 명령어를 입력하신 후 나오는 결과에서 아래와 같이 Physical Address (MAC Address) 가 위와 같이 동일한 값이 나타난다면 ARP Spoofing 증상이 있다고 의심할 수 있습니다.


 




이미지를 클릭하시면 원본크기로 보실수 있습니다.





 


3)웹 페이지 인코딩 깨짐


 ARP Spoofing을 통해 악성코드가 삽입된 웹 페이지로 유도되기 때문에 감염된 PC와 같은 대역대의 PC들은 정상적으로 웹을 실행할 수가 없거나 인코딩이 변경 되어 글꼴 깨짐 현상이 나타납니다.




이미지를 클릭하시면 원본크기로 보실수 있습니다.





 


 


 


감염여부 확인 방법


 해당 악성코드는 아무리 자기 자신이 PC관리를 잘 하였더라도 같은 네트웍에 물려있는 PC가 악성코드에 감염 되었다면


해당 악성코드에 노출되게 되어 특별히 주의를 해야 합니다. 같은 네트웍에 해당 악성코드에 감염된 PC가 있는지


확인하는 방법을 안내 해 드립니다.


 


1) [시작][실행] 을 실행 후 cmd 입력 후 [확인] 버튼을 누릅니다.


 


2) 명령 프롬프트가 실행이 되면 “arp –a” 입력 후 아래와 같이 동일한 Physical Address 가 존재하는지 확인합니다.


 이미지를 클릭하시면 원본크기로 보실수 있습니다.




 





 


3) 동일한 Physical Address 가 존재한다면 아래 URL에서 “ARP Spoofing 탐지 및 차단 전용백신을 다운로드 하신 후 실행하도록 합니다.


 


[ARP Spoofing 탐지 및 차단 전용백신 링크]


http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?webVaccBoardsVo.seq=73


 


실행을 한 후 잠시 기다리게 되면 아래와 같이 차단로그가 나타나게 됩니다. 차단된 내용 중 원격지 컴퓨터 주소(아래 스크린샷의 192.168.0.15)” IP가 해당 악성코드에 감염된 시스템이므로 해당 IP에 해당하는 시스템을 확인하시어 V3 제품으로 검사 및 치료를 진행하시기 바랍니다


 




이미지를 클릭하시면 원본크기로 보실수 있습니다.





 


감염 시 차단 및 예방 방법


 해당 악성코드는 ARP Spoofing 을 통해 같은 네트워크 대역에 있는 모든 시스템에 전파를 시키게 되므로 아래 안내해 드리는 사항에 대해 같은 네트워크에 있는 모든 시스템에 조치를 하여야 합니다.


 


1. 백신을 최신 버전으로 업데이트 합니다.


 


2. 아래 마이크로소프트 윈도우 보안 업데이트가 설치되어 있는지 확인하신 후 설치가 되어있지 않다면 설치를 하시기 바랍니다.


Microsoft Internet Explorer iepeers.dll Use-After-Free Exploit (MS10-018)


http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx


Aurora 취약점 (MS10-002)


http://www.microsoft.com/korea/technet/security/Bulletin/ms10-002.mspx


 


 


 


참고 - 해당 악성코드가 삽입 된 수많은 웹 페이지들


이미지를 클릭하시면 원본크기로 보실수 있습니다.





p.s 안철수 연구소의 문서


(ARP Spoofing을 통해 전파되는 온라인 게임핵 악성코드)를 바탕으로 작성하였습니다.


 



 


 


 


 


 


통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
10/09/09 12:34
수정 아이콘
좋은정보 감사합니다^_^ 저는 해당되지 않는군요;;
어진나라
10/09/09 12:40
수정 아이콘
좋은 정보 감사합니다. 이 글을 공지로~
10/09/09 13:11
수정 아이콘
다행이 아직까진 무사하네요. 공익을 위한 정보는 언제나 아름답습니다. 감사해요.
아레스
10/09/09 13:12
수정 아이콘
좋은정보 감사합니다..
계란말이
10/09/09 14:40
수정 아이콘
헉..동일한 Physical Address가 있는데 안랩에선 윈7은 지원이 안된다네요.ㅜ 어떡하나..
멋진벼리~
10/09/09 16:58
수정 아이콘
계란말이님// 대부분의 백신이 해당 악성코드를 진단 하고 있습니다.

알약도 마찬가지고요. 아마도 계란말이님 PC 보단 같은 네트워크안의 다른 PC가 문제일테니

ISP업체(KT나 SK등)에 해당 mac address를 알려주면 될 것 같습니다
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
24966 [일반] 2010 마구마구 프로야구 9/9(목) 리뷰 &9/10(금) 프리뷰 [19] 멀면 벙커링3746 10/09/09 3746 0
24965 [일반] 한국통신 집전화 가지신 분 필독!!(환급금 관련) 필독 하셔야 합니다 [14] 하지만없죠8075 10/09/09 8075 0
24964 [일반] 분교 -> 본교로 바뀐다?? [171] 이루이14676 10/09/09 14676 0
24963 [일반] 닌텐도의 수리규정...과 제 멍청멍청열매를 먹은 멍청함 한탄 [4] 김판타4144 10/09/09 4144 0
24962 [일반] 프로야구 중계 불판 올립니다. [114] EZrock4695 10/09/09 4695 0
24961 [일반] 그 쇳물은 쓰지 마라 [14] 칼 리히터 폰 란돌6175 10/09/09 6175 0
24959 [일반] 레인보우 "배꼽춤"퇴출 어떻게들 생각하시나요. [72] HORY10690 10/09/09 10690 0
24958 [일반] 비 오는 날 [10] 삭제됨2890 10/09/09 2890 0
24957 [일반] [잡담] 먹는 이야기 [39] Artemis6711 10/09/09 6711 0
24955 [일반] [MLB] "지옥의 종소리" 트레버 호프먼 600세이브 기록 [14] 페가수스4839 10/09/09 4839 0
24954 [일반] 쓰러진 여성 또 들이받아… 끔찍한 만취 뺑소니 [205] 하지만없죠9040 10/09/09 9040 0
24952 [일반] [안주] 초간단 맥주 안주 혹은 간식 만들기! (사진있어요) [56] 베베5094 10/09/09 5094 0
24951 [일반] 2NE1 정규앨범 신곡 "박수쳐"의 뮤직비디오가 공개되었습니다. [48] 세우실5357 10/09/09 5357 0
24950 [일반] [보안]최근 유행하는 악성코드 - www.xzjiayuan.com [6] 멋진벼리~5984 10/09/09 5984 0
24949 [일반] 초년생의 푸념 [35] 아지노스5620 10/09/09 5620 0
24947 [일반] 내 마음속의 빛 잠시 꺼야겟네요.. [7] 너는나의빛^^3937 10/09/09 3937 0
24946 [일반] KT도 3G 무제한 요금제 발표했네요. [32] 소인배6461 10/09/09 6461 0
24945 [일반] 인간극장, 흑인 혼혈 아이들, 혼자된 아버지, 그리고 자살. [10] 로고스10353 10/09/09 10353 0
24944 [일반] [쇼핑정보] WD 외장하드 + 던킨 도너츠. [14] Yang5711 10/09/09 5711 0
24943 [일반] 안경현선수... 우리 안샘이 은퇴하신답니다.. [14] 아로아4426 10/09/09 4426 0
24942 [일반] 2010 마구마구 프로야구 9/8(수) 리뷰 & 9/9(목) 프리뷰 [32] 멀면 벙커링4631 10/09/08 4631 0
24939 [일반] Company of Heroes Online 수석 디자이너 사망 [21] FakePlasticTrees5737 10/09/08 5737 0
24938 [일반] 프로야구 중계 불판 올립니다. [459] EZrock6181 10/09/08 6181 0
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로