"OpenOffice.org"(이하 오픈 오피스)는 줄여서 OOo, OO.o 등으로도 불리며 http://www.openoffice.org에서 오픈 소스 프로젝트로 진행되는 오피스 프로그램이다. 현재 국내에서 오픈오피스가 마이크로소프트사의 MS오피스나 한글과컴퓨터사의 한글과컴퓨터 오피스에 비해 널리 사용되지는 않고 있지만 무료라는 점, 마이크로소프트 오피스 97-2003 포맷을 지원한다는 장점과 데이터 교환을 위해 고유 파일 포맷으로 ISO 표준인 오픈도큐먼트 포맷(ODF)를 지원 하는 등의 여러가지 이유로 조금씩 사용비중이 높아져 가고 있다. 이런 오픈오피스도 명성을 쫓는 악성코드 제작자들을 피해가기는 어려웠는지 2007년 5월 22일 보안업체와 외신을 통해 오픈오피스에서 활동하는 최초의 악성코드(배드버니-BadBunny)가 보고되었다. 이 글에서는 오픈오피스의 보안적인 측면과 배드버니에 대해 알아보겠다.

오픈오피스

오픈오피스는 1980년대 중반 독일의 스타오피스 슈트(StarOffice suite)로 시작되어 1999년 썬 마이크로시스템즈(Sun Microsystems, 이하 썬)에 합병되어 2000년 6월 스타오피스 5.2가 공개되었다. 2000년 10월 13일 스타오피스 6.0를 시작으로 오픈오피스 프로젝트에 사용되어 오픈오피스 1.0이 2002년 4월 30일 탄생한다. 현재는 썬에서 오픈 소스 프로젝트를 진행하고 있으며, 윈도우, 리눅스, 매킨토시 버전이 존재한다.

한국어 웹사이트도 존재하며(http://ko.openoffice.org) 테스트에 사용된 오픈오피스 버전 2.4.1은 설치 파일 크기는 113 메가바이트이다. 기본적인 테스트는 한글 윈도우 XP 서비스 팩 2 혹은 3에 오픈오피스 한글판 2.2와 2.4를 사용했다.

오픈오피스 문서 구조

오픈오피스 문서는 MS 오피스 2007과 마찬가지로 ZIP 형식의 압축 파일로 되어 있다. 실제 오픈오피스 문서를 ZIP 파일로 변경하면 압축 해제 프로그램에서 압축을 풀 수 있다. 이는 오픈도큐먼트(OpenDocument, ODF)에 따른 것으로 원래 오픈오피스에서 만들고 구현한 XML 파일 포맷을 바탕으로 OASIS(Organization for the Advancement of Structured Information Standards) 컨소시엄이 표준화한 것이라고 한다.



이와 같이 XML 형태로 제작된 문서는 오피스간 파일 호환도 가능하지만 과거 오피스 문서 파일이 자체 파일 포맷을 사용함으로써 파일 포맷을 변경하여 악의적인 코드를 수행하게 하는 유형의 공격으로부터의 공격 가능성도 대폭 낮춰 보안성을 높일 수 있다.

오픈오피스 매크로

현재 오픈오피스는 MS 오피스의 VBA(Visual Basic for Application) 매크로와 호환되지 않아 MS 오피스에 포함된 매크로가 실행되지 않는다 . 오픈오피스는 VBA 대신 자체적인 매크로를 지원하고 있는데, 크게 오픈오피스 베이직(OpenOffice.org Basic), 자바스크립트(JavaScript), 빈쉘(BeanShell), 파이썬(Python)을 지원한다.

오픈오피스는 기본적으로 매크로의 기능을 막아두었기 때문에, 스크립트나 매크로를 포함한 문서를 열 경우 사용자에게 경고 메시지를 보인다.



2.4 버전에서는 매크로를 기본적으로 막아두었기 때문에 사용자가 매크로를 사용하려면 매크로 보안 기능을 '높음'에서 '중간'으로 낮춰야 한다. 보안 수준을 낮춘 후 문서를 열면 보안 경고 창이 뜬다. 이때 '매크로 활성화'를 선택하면 매크로를 실행 할 수 있다. 하지만, 매크로 실행을 위해서는 JRE(Java Runtime Environment)가 필요하다는 메시지가 뜨지만 무시해도 기본적인 매크로는 사용가능 하다.

매크로는 실행은 사용자가 '도구(T)' - '매크로(M)' - '매크로 실행(U)'을 선택해 매크로를 실행할 경우 실행된다.

오픈오피스 베이직은 '내 매크로'. '오픈오피스 매크로'와 현재 열린 문서의 매크로가 기본이 된다. 내 매크로는 C:\Documents and Settings\[사용자이름]\Application Data\OpenOffice.org2\user\basic\Standard 폴더에 저장된다. 기본 파일 이름은 Module1.xba 이다.

오픈오피스에서 매크로 기능을 사용하기 위해서는 설정할 사항이 많으므로 대다수 사용자는 매크로 사용을 하지 않고 매크로 기능이 필요한 사람만 선택적으로 사용할 것이다.

악성코드 제작 환경

오픈오피스 매크로는 기술적으로 악성코드에 필요한 다음 기능을 제공하고 있어 악성코드 제작이 가능하다.



실제 간단히 파일 생성, 복사, 실행, 삭제를 테스트 해서 매크로를 실행할 수 있는 상황이면 적어도 트로이목마 류의 악성코드는 제작할 수 있다.



다행히 오픈오피스는 매크로 기능을 기본적으로 막아둬 매크로 기능을 잘 모르는 사용자는 악성코드 피해를 받을 가능성이 낮다. 하지만, 매크로가 수행 될 경우에는 악성코드 제작에 필요한 기능을 제공하고 있어 악성코드 제작 가능성은 존재한다.

배드버니 분석

오픈오피스 악성코드로는 오픈오피스 드로우(OpenOffice Draw)에서 제작된 악성코드가 2007년 5월 발견되었다. 일반에 퍼지지 않고 기술적으로 제작이 가능함을 증명하는 개념증명(Proof of concept) 악성코드이다.

감염된 문서를 열어볼 때 실제 매크로는 Basic\Standard의 badbunny.xml 파일이다.



소스코드를 보면 이 악성코드는 자신을 'Necronomikon'과 'Wargame'으로 부르는 사람들이 제작했음을 알 수 있다. 이들은 'DoomRiderz' 라는 독일의 바이러스 제작그룹 멤버였으며 2007년 12월 28일 그룹을 떠난 것으로 알려졌다.

오픈 오피스는 윈도우, 매킨토시, 리눅스 등 멀티플랫폼에서 실행되므로 현재 실행되는 환경을 알 수 있다. 악성 매크로가 실행되면 초기화를 하고 Startgame을 호출한다. Startgame 에서 현재 시스템의 버전을 얻어낸다. 1번이 Windows, 3 번 매킨토시, 4 번 리눅스이다.



제작자는 특정한 문자열과 그림을 문서에 추가하려 했지만 한글버전 2.2 에서는 오류가 발생한다. 또 윈도우 버전의 경우 [그림 5]와 같이 c:\badbunny.js를 실행할 때 오류가 발생했다.



원래 삽입하려는 이미지는 버니 복장의 남자와 여성의 포르노 사진이었다. 이후 메시지 창으로 사용자에게 메시지를 출력한다.



그리고, 다음 보안 업체에 PING 명령을 보낸다.



하지만, 테스트에 사용된 한글 오픈오피스에서는 종종 오류가 발생해 제대로 악성코드가 실행되지 않았다.

향후 오픈오피스 악성코드 전망

오픈오피스가 악성코드 제작자의 다음 목표가 될 거라는 전망은 예전부터 있었다. 하지만, 오픈오피스 사용자가 아직 다른 오피스에 비해 적고 악성코드 제작자들은 재미나 명성보다는 돈을 쫓는 경향이 강하기 때문에 오픈오피스에 관심을 가지는 악성코드 제작자는 명성을 쫓는 전통적인 바이러스 제작자나 제작 그룹에 한정될 것으로 보인다.

다행히 오픈오피스는 과거 수 많은 매크로 바이러스를 양산한 MS 오피스의 교훈을 거울삼아 매크로 기능을 기본적으로 사용할 수 없게 하고 사용자가 선택해야 실행할 수 있는 형태로 제작되어 악성코드에 감염될 가능성을 낮췄다. 또한 현재까지 제작된 악성코드 역시 개념증명 수준의 문제를 가지고 있다. 하지만, 멀티 플랫폼으로 제작된 오피스 제품의 특성상 하나의 악성코드로 다양한 환경에서 활동할 수 있는 악성코드 제작은 늘 가능하다. 오픈오피스 명성이 높아가고 사용자가 늘어날수록 악성코드의 검은 그림자도 따라 갈 수 있다.

참고자료
[1] 오픈오피스 (http://www.openoffice.org)
[2] 오픈오피스 한국어 버전 (http://ko.openoffice.org)
[3] 김정규, "오픈오피스와 오픈도큐먼트"
[4] Gooo (http://go-oo.org)

취약한 SWF 파일과 멀티 다운로더

어도비사의 플래쉬로 유명한 SWF 파일포맷에 취약점 이 존재하여 이를 노린 악성코드가 폭발적으로 발견 보고되었다. 이 취약점은 Movieclip 구현을 위한 필드를 모아둔 Tag 중에서 SceneCount 값이 음수일 경우 발생한다. 이것은 SWF 파일 구조중 Tag type 'DefineSceneAndFrameLabelData' 필드에 속하며, 악용하기 위한 쉘코드는 JPEG 이미지를 표현하는데 사용되는 비트맵 정보를 가진 Tag 부분에 위치한다. 다음은 취약한 SWF 파일에서 쉘코드내 복호화 루틴 부분과 이를 복호화하여 멀티 다운로더가 업로드된 호스트 부분을 표시한 것이다.



대부분의 취약점이 그러하듯 SWF 취약점 역시 궁극적으로 멀티 다운로더를 다운로드 & 실행하여 해당 시스템에 대량의 트로이목마를 설치하는 것이 목적이다.

다음 [그림 2]는 취약한 SWF 파일에 대하여 암호화를 적용한 형태로서 대다수의 샘플이암호화되어 있으며, SWF Encrypt 라는 상용도구로 만들어진다. 그러나 이 도구는 SWF 파일내에 액션스크립트에 해당 부분만을 암호화 시켜주므로 실제로는 쉘코드가 위치하는 해당 태그영역과는 전혀 관련이 없다.



이러한 류의 악성코드 제작자들은 분석을 지연시킬 목적으로 SWF Encrypt를 사용했지만 이는 이미 취약한 SWF 파일을 생성하는 자동화된 도구에서 쉘코드 암호화가 이루어져 있음에도 불구하고 의미없이 해당 툴을 사용했다는데 있다. 이를 되짚어 생각해보면, 이와 같이 기하급수적으로 제작된 악성코드의 상당수가 자동화된 악성코드 제작 도구에 의존하고 있다는 것을 반증하는 것으로 취약점의 동작원리도 제대로 이해하고 있지 못한 상태에서 취약한 SWF 파일을 만들어내는 툴을 사용하여 대량으로 찍어 내듯이 제작된다는 것이다.

즉 이러한 점을 고려해볼 때, 우리는 대다수의 중국의 스크립트 키드(script kids)와 싸우고 있다고 생각된다. 한편으로는 이러한 도구를 만들어 낼 수 있는 실력이 어느 정도 있는 제작자들은 도구를 만들어서 스크립트 키드에게 팔아 돈을 벌고 스크립트 키드들은 이 도구를 이용하여 자신이 원하는 정보를 탈취하거나 탈취된 정보를 돈을 받고 파는 형태가 일반적인 중국의 악성코드 제작의 순환 고리라 하겠다.

사용자들은 이 취약점을 악용한 공격으로부터의 피해를 예방하기 위해서는 플래쉬 플레이어를 업데이트 하는 것이 가장 손쉬우면서도 가장 효과적인 방법이다. 그러나, 아쉽게도 플래쉬 플레이어는 기본값으로 한 달에 한번씩만 자동 업데이트 되도록 되어 있다. 플래쉬 플레이어가 설치 되어 있다면 다음 경로에서 FlashUtil9f.exe (버전에 따라서 파일명 다름)를 실행하여 안내되는 메시지에 따라서 최신버전으로 업데이트 하도록 한다.

안철수연구소는 최근 ‘시큐리티대응센터 리포트’에 올해 상반기 7대 보안 이슈를 발표했습니다.

이 보고서에 따르면 올해 상반기에 국내에서 새로 발견된 악성코드 및 스파이웨어는 10,580개로 전년 동기 4,376개 대비 2.4배 증가했고, 종류별로는 트로이목마가 2.7배 급증했으며 스파이웨어도 2.1배 증가했습니다. 이렇게 급증한 이유는 악성코드를 손쉽게 제작하고, 만들어진 악성코드로 자동 공격할 수 있는 툴들이 지속적으로 제작, 공유됨에 따른 것으로 분석됩니다. 이는 돈을 노린 범죄화 경향과 밀접한 관련이 있는데, 해커들은 은밀하고 조직적으로 특정 시스템이나 조직을 겨냥한 국지적 공격으로 금전적 이익을 취하고 있는 실정입니다.

또한 7대 보안 이슈로는 웹 통한 악성코드 설치 유도하는 ARP 스푸핑 기승, 특정 애플리케이션 취약점을 악용하는 악성코드 급증, 검색 엔진을 이용한 자동화된 SQL 인젝션 급증, 스파이웨어의 악성화, 전통적인 악성코드 감염 기법 증가, 스피어 피싱(Spear Phishing) 급증, 플로그(Splog)의 등장과 블로그를 이용한 스팸의 악성화 등을 들었습니다. 자세한 내용은 아래 글을 참고하세요.


1) 웹 통한 악성코드 설치 유도하는 ARP 스푸핑 기승
2007년 상반기에 확산되어 많은 피해를 준 ARP(Address Resolution Protocol; 주소결정 프로토콜) 스푸핑이 6월에 다시 발생해 큰 피해를 일으켰다. ARP 스푸핑 공격을 당한 PC는 동일 IP 대역폭에 있는 모든 PC의 ARP 값을 변조한다. 이후 정상적인 PC가 인터넷 익스플로러로 웹사이트에 접속할 때, 감염된 PC를 먼저 거친 후 웹사이트에 접속하게 되며, 이때 악성코드를 내려받는다. 최근에는 이러한 ARP 스푸핑을 악용하는 악성코드를 자동으로 제작해주는 자동화 툴이 널리 공유되어 다수의 변종이 만들어져 피해가 커지고 있다.

2) 특정 애플리케이션 취약점을 악용하는 악성코드 급증
최근 공격 유형은 윈도 시스템 관련 취약점보다는 대중적으로 사용되는 특정 애플리케이션으로 집중되는 현상을 보이고 있다. 특히 중국발 악성코드 제작 도구를 이용하여 대량 생산되고 있다. SWF, ARP, PDF, 오피스 관련 취약점 및 네트워크 공격 도구들이 엄청난 피해를 주고 있고 앞으로도 이러한 현상은 상당 기간 지속될 것으로 예상된다. 이같은 피해를 줄이려면 시스템 보안 패치 외에도 사용자 시스템에 설치된 수많은 애플리케이션들에 대한 점검이 필요하다.
 
3) 검색 엔진을 이용한 자동화된 SQL 인젝션 급증
검색 엔진을 통해 공격 대상을 수집하고, 취약한 웹 서버와 연계된 데이터베이스의 모든 테이블에 악성 스크립트를 삽입할 수 있도록 설계된, 자동 SQL 인젝션 툴을 이용한 공격이 많이 발생했다. SQL 인젝션 공격을 받은 웹사이트는 데이터가 손상되는 피해를 입게 되며, 해당 웹사이트에 접속한 PC에는 악성 스크립트가 실행되어 특정 웹사이트로 연결되어 악성코드를 내려받게 된다.

4) 스파이웨어의 악성화
악성코드를 다운로드하는 프로그램을 숨기거나 스파이웨어의 삭제를 방해하는 기능을 가진 것들 것이 많이 발견되었다. 또한 분석 도구의 실행을 방해하고 분석을 어렵게 하는 스파이웨어가 다수 발견되었다.

5) 전통적인 악성코드 감염 기법 증가
도스(DOS) 시절의 전통적인 방법을 사용하는 악성코드가 증가해 큰 이슈가 되었다. 이러한 악성코드는 운영체제가 작동하기 전 자신이 먼저 실행되고, 파일이나 레지스트리 어디에도 존재하지 않는 것이 특징이다. 이 때문에 일반 사용자들이 감염 여부를 알기가 매우 어렵다. 또한 진단/치료하기가 매우 까다롭다.

6) 스피어 피싱(Spear Phishing) 급증
스피어 피싱은 특정 조직에 신뢰할 만한 발신인으로 위장해 메일을 보내 가짜 사이트로 유도하여 악성코드 설치 및 아이디와 비밀번호 입력을 유도하는 것이다. 취약점이 담긴 문서 파일을 보내 실행을 유도하기도 하는 일종의 피싱 공격이다. 최근 들어 일반인보다는 특정 기업 및 조직 내 특정 인물이나 그룹과 같이 목표를 정해 공격하는 경우가 급증했다.

7) 스플로그(Splog)의 등장과 블로그를 이용한 스팸의 악성화
블로그(Blog)가 1인 미디어로 자리잡자 광고나 스파이웨어 배포 수단으로 악용하는 ‘스플로그(Spam + Blog)’가 급증했다. 인기 검색어를 이용해 검색 엔진을 통해 방문을 유도하고 스파이웨어를 설치하거나 광고를 전달하는 것이다. 댓글이나 트랙백을 이용한 블로그 스팸의 경우 과거에는 영문에 국한됐으나, 최근에는 스팸 필터를 우회하기 위해 한글이나 다른 언어로도 등록되고 있다.

이 밖에 상반기 동안 피해를 일으킨 것으로 대표적인 중국산 악성코드인 디스크젠(Win32/Diskgen)과 동영상 코덱으로 위장하여 성인사이트 중심으로 확산되는 스파이웨어 즐롭(Win-Spyware/Zlob)의 변형이 확산된 것이 특기할 만하다. 즐롭에 감염되면 툴바 설치, 허위 경고 메시지 노출, 허위 안티스파이웨어 프로그램 설치 등의 증상이 나타난다.

6월은 전체 6,634건의 피해신고가 접수되었으며 지난달 7,650건에서 1,000건 가량 감소했다.2008년 2월 8,948건에서 3,254건으로 크게 감소된 이후 계속적으로 증가되다가 4개월 만에 다시 피해신고 건수가 소폭감소세를 보이고 있다.



이러한 감소세는 6월 한 달 잠시 감소하는 것으로 추정이 되며, 최근 중국 등지에서 악성코드 제작 툴들이 계속적으로 발견되고 있는 것으로 미루어보아 악의적인 목적을 가진 전문가가 아니라 단지 호기심 많은 일반 컴퓨터 사용자들에 의해서도 악성코드가 제작되어 유포될 가능성이 있다. 또한 국내에서도 시기적으로 봤을 때 컴퓨터를 많이 사용하는 초 중 고, 대학생들의 방학으로 인해 2007년도의 그래프와 같이 7월 피해신고건수는 이전달들에 비해 더욱더 늘어날 것으로 예상된다.

위 통계에는 반영되지 않았으나 6월말부터 대량으로 신고되는 ARP Spoofing관련 악성코드들의 변형이 지속적으로 발견되고 있으며, 사람들이 많이 이용하는 언론사의 홈페이지나 주요 포털 사이트의 게시판 등이 해킹 당해 악성코드의 배포지로 사용되기도 하여 여러 고객사로부터 동시다발적으로 대량으로 신고가 접수되어 2008년 7월에는 더욱더 피해신고건수가 늘어날 것으로 예상된다

안철수연구소는 지난 6월 27일 중국발로 추정되는 웹사이트 해킹과 해킹당한 웹사이트를 통한 악성코드 유포 확산에 대한 경고를 내렸습니다.

[안철수연구소, 웹 해킹 통한 악성코드 급속확산 경고]

그런데, 이같은 현상이 지속적으로 발생을 하고 있으며, 변종이 계속해서 생겨나고 있습니다. 이에 여러분들께서는 아래의 내용을 살펴보시고 대처하시기 바랍니다. 




증상 및 요약

Dropper/ARPSpoofer.21286는 기존에 발견된 Dropper/ARPSpoofer 의 변형 중 하나이다. 해당 드로퍼는 윈도우 사용자 계정의 취약한 암호를 통한 IPC 공유폴더 또는 사용자 공유폴더 그리고 USB 외장형 저장 장치를 통해서 전파된다. 해당 드로퍼가 실행되면 윈도우 폴더의 Task 폴더에 hackshen.vbs (97 바이트), wsock32.dll (15,872 바이트), csrss.exe (21,287 바이트) 그리고 중국어명.bat (21,287 바이트)생성하고 자신을 레지스트리에 등록하여 윈도우 시작 시 자동으로 실행되게 한다.

해당 드로퍼가 실행이 되면 인접 네트워크에 존재하는 시스템으로 악의적인 스크립트를 실행 할 수 있는 iFrame이 삽입된 ARP(Address Resolution Protocol) 패킷을 발생시켜 ARPSpoofing을 유발하게 된다. 이로 인해 인접 네트워크에 존재하는 시스템은 외부 네트워크에 존재하는 시스템으로 접속을 시도할 경우 해당 드로퍼에 감염된 시스템을 경유해서 접속 함으로 인해 해당 드로퍼에 자동으로 감염되게 된다.

그리고 외부 시스템으로부터 ARPSpoofing을 유발하는 Win-Trojan/ARPSpoofer 변형들과 Win-Trojan/OnlineGameHack 변형들을 다운로드 하여 설치하게 된다.

* 확산 정도

정보를 작성하는 2008년 07월 02일 15시 37분(GMT+9 기준) 현재 안철수연구소는 고객으로부터 다수의 감염 보고를 받았다.

* 전파 경로

Dropper/ARPSpoofer.21286는 다음과 같은 3가지 방식으로 전파 되게 된다.

1. USB 외장형 저장 장치를 통한 전파

해당 드로퍼는 시스템 루트 드라이버와 시스템에 연결된 외장형 저장 장치에 Autorun.inf과 자신의 복사본을 생성한다. 이로 인해 윈도우 시스템의 외장형 저장 장치 자동 인식 및 실행 기능을 이용하여 자동 실행하게 된다.

2. 사용자 공유 폴더와 IPC 공유 폴더를 통한 전파

해당 드로퍼는 인접 네트워크에 존재하는 시스템의 사용자 공유 폴더와 IPC 공유 폴더를 검색하여 자신의 복사본을 hackshen.exe 으로 복사 후 실행하게 된다.

사용자 공유 폴더와 IPC 공유 폴더 접속시 대입하는 암호는 다음과 같다.

woaini
angel
asdfgh
1314520
5201314
caonima
88888
bbbbbb
12345678
memory
abc123
qwerty
123456
password
enter
xpuser
money
guest
admin
administrator
movie

3. 변조된 ARP(Address Resolution Protocol)을 통한 전파

해당 드로퍼는 다음의 변조된 ARP 패킷을 유발 시켜 인접 네트워크에 존재하는 시스템에 인터넷 익스플로러의 취약점을 이용하는 악성 스크립트를 자동 실행하게 된다.

arps.com -idx 0 -ip 네트워크 대역 -port 80 -insert ""

취약한 인터넷 익스플로러를 사용하는 인접 네트워크의 시스템은 자동으로 해당 악성 스크립트를 실행하게 되고 외부 네트워크에 존재하는 시스템에서 해당 드로퍼의 변형을 다운로드하게 된다.

* 실행 후 증상

[파일생성]

Dropper/ARPSpoofer.21286는 비주얼 C++로 제작되었으며 중국에서 개인적으로 제작된 실행 압축 유틸을 이용하여 실행 압축되어 있다.

해당 드로퍼가 실행 되면 윈도우 폴더에 존재하는 Tasks 폴더에 다음 파일들을 생성한다.

 - 중국어 명칭.bat (21,287 바이트)
 - hackshen.vbs (97 바이트)
 - wsock32.dll (15,872 바이트)
 - csrss.exe (21,287 바이트)

주) 윈도우 폴더는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:\Windows, 윈도우 NT/2000은 C:\WinNT 폴더이다.

[레지스트리 등록]

Dropper/ARPSpoofer.21286는 레지스트리에 다음 값을 추가해 윈도우 시작 시 자동으로 실행되도록 한다.


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK} 의
stubpath = C:\윈도우 폴더\Tasks\hackshen.vbs ]

[프로세스 종료]

Dropper/ARPSpoofer.21286는 감염된 시스템에 다음 프로세스가 실행 중일 경우에는 강제 종료를 시도한다.


AST.exe
360tray.exe
ast.exe


그리고 실행 중 프로그램의 윈도우 명에 다음의 문자열이 포함되어 있을 경우 강제종료를 시도한다.


Virus
virus
Firewall
Mcafee
Process
NOD32


[파일 다운로드]

Dropper/ARPSpoofer.21286는 다음의 시스템으로 접속하여 악의적인 파일들을 다운로드 시도한다 다운로드 하는 파일들은 또 다른 ARPSpoofing을 유발하는 트로이목마와 온라인 게임의 사용자 정보를 유출하는 트로이목마들을 다운로드 한다.


M*****ea.com/img/btn/index.htm
M*****ea.com/img/btn/wm/arp.exe
M*****ea com/img/btn/wm/wincap.exe
M*****ea.com/img/btn/1.js
M*****ea.com/img/btn/tj/ct.asp
M*****ea.com/wm/updatexixue.txt
M*****ea.com/wm/mm.exe
M*****ea.com/img/btn/10.exe
M*****ea.com/img/btn/9.exe
M*****ea.com/img/btn/8.exe
M*****ea.com/img/btn/7.exe
M*****ea.com/img/btn/6.exe
M*****ea.com/img/btn/5.exe
M*****ea.com/img/btn/4.exe
M*****ea.com/img/btn/2.exe
M*****ea.com/img/btn/1.exe
M*****ea.com/img/btn/3.exe
M*****ea.com/wm/mm.exe


주) 일부 주소는 * 로 처리하였다.

[hosts 파일 변경]

HOSTS 파일을 수정해 감염된 시스템에서 특정 주소로 접속하지 못하게 한다. 보통 보안 사이트 홈페이지나 안티 바이러스 엔진 업데이트 서버로 감염된 사용자가 정보를 얻거나 치료를 위한 엔진 업데이트를 방해한다.


127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 home.ahnlab.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 www.kaspersky.co.kr
127.0.0.1 www.viruschaser.com
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.kaspersky.com
127.0.0.1 60.210.176.251
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1 www.qihoo.com
127.0.0.1 www.qihoo.cn
127.0.0.1 9u9u9.cn


주) HOSTS 파일은 사용 윈도우에 따라 다른 폴더에 존재한다. 보통 윈도우 95/98/ME는 C:\Windows\System 폴더에 존재하며 윈도우 NT/2000은 C:\WinNT\System32\Drivers\ETC 폴더, 윈도우 XP는 C:\Windows\System32\Drivers\ETC 폴더이다. 

치료 방법

(1)   감염 확산 방지를 위해 각 PC의 윈도를 업데이트해 인터넷 익스플로러에 대한 최신 보안 패치를 받는다.

(2)   V3 365 클리닉, V3 IS 7.0 Platinum 등 최신 버전의 통합보안 소프트웨어로 검사해 치료한다.

(3)   기업 보안 관리자는 네트워크 보안 장비로 해킹당한 웹사이트를 차단한다. 감염된 시스템에서 다운로드를 시도하는 사이트의 도메인이나 IP를 파악해 내부로 파일이 유입되는 것을 막는다.

      (4)   악성코드에 감염되지는 않았으나 감염된 PC로 인해 ARP 값이 변조돼 네트워크가 되지
            않는 PC는 ARP 값을 초기화한다. cmd 도스 창을 이용하여 arp -d 명령어를 치면 모든
            arp 테이블의 정보가 초기화한다. 그러나 사내 감염된 PC가 있으면 다시 변조될 수 있으
            므로 감염된 PC를 모두 찾아 위와 같이 조치한다.