본문 바로가기
AhnLab News

2010.09.07 안철수연구소, 온라인 게임 계정 탈취 악성코드 주의보

by 보안세상 2020. 4. 1.

- 취약 웹사이트 방문 시 감염..사내 네트워크로 전파
- 안철수연구소 V3 등 일부 제품만 진단/치료

안철수연구소는 최근 온라인 게임 계정을 탈취하는 악성코드가 일부 웹사이트를 통해 확산 중이라고 경고했다. 특히 이 악성코드는 ARP 스푸핑(ARP Spoofing; 
보충자료1)을 통해 감염된 컴퓨터와 동일 네트워크에 있는 다른 PC에 전염되므로 개인은 물론 기업에서도 각별히 주의해야 한다. 현재 안철수연구소 시큐리티대응센터에는 네트워크 장애를 겪는 기업, 인터넷 뱅킹 접속이 안 되는 개인의 사례가 접수되고 있다.

사용자가 보안에 취약한 웹사이트에 접속하면 악성코드인 yahoo.js 파일이 실행되고 이어서 다른 악성코드가 다운로드 및 실행된다. yahoo.js 파일의 코드를 풀면 ad.htm, news.html, count.html 파일로 다시 접근한다. ad.htm 파일은 MS 인터넷 익스플로러의 MS10-018 취약점을, news.html 파일은 MS10-002 취약점을 이용해 s.exe 파일을 다운로드 및 실행한다.

 

s.exe 파일은 C:\Windows\System32 폴더에 xcvaver0.dll 파일을 생성하는데, 이 파일이 던전 앤 파이터, 아이온, 메이플 스토리 등의 온라인 게임 계정을 유출하는 기능을 한다. 또한 같은 네트워크에 있는 컴퓨터에서 웹 서핑을 할 경우 yahoo1.js (yahoo.js와 동일) 파일로 접근하게 한다. 사내 컴퓨터 중 한대라도 감염돼 있으면 다시 전파될 위험이 있는 것이다.

 

현재 이 악성코드는 안철수연구소를 비롯해 일부만 진단/치료하는 상태이다. 이 악성코드의 피해를 막으려면 사이트가드(기업은 사이트가드 프로)를 설치해 위험한 웹사이트 접속을 예방하고, 개인 및 사내 모든 컴퓨터를 V3 최신 버전으로 업데이트하고 윈도우 보안 패치를 해야 한다. V3 제품군과 온라인 통합보안 서비스인 안랩 온라인 시큐리티(AOS)’, 유해 사이트 차단 서비스인 사이트가드 등은 JS/Exploit, JS/Psyme, Dropper/Malware.42496.GF, Win-Trojan/Downloader.4608.AOS 등으로 진단한다. 또한 안철수연구소는 ARP 스푸핑의 진원지 컴퓨터를 손쉽게 탐지/차단할 수 있는 전용 백신을 별도 제공 중이다. http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?webVaccBoardsVo.seq=73 (보충자료2)

 

안철수연구소 전성학 시큐리티대응센터장은 개인은 물론 기업에도 피해를 주는 악성코드이므로 개인과 웹사이트 관리자, 기업 네트워크 관리자 모두 각별히 주의해야 한다.”라고 당부했다.

 

<보충 자료>------------------------------------------------------------------------------------------------------------------

 

1. ARP 스푸핑

ARP 스푸핑(Address Resolution Protocol Spoofing)은 동일 네트워크에 존재하는 공격 대상 PC IP 주소를 공격자 자신의 랜카드 주소와 연결해 다른 PC에 전달돼야 하는 정보를 가로채는 공격을 말한다. 어떤 PC ARP 스푸핑 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 PC에 쉽게 악성코드를 설치할 수 있다. ARP 스푸핑 공격을 이용한 악성코드 유포 기법은 2007년 상반기에 처음 나타났다. 과거에 해커는 유명한 웹 서버 자체를 공격해 악성코드 경유지로 활용했다. 그러나 웹 서버 보안이 강화하자, 네트워크의 서브넷(subnetwork. 어떤 기관에 소속된 네트워크이지만 따로 분리된 한 부분으로 볼 수 있는 네트워크. 일반적으로 한 서브넷은 한 지역, 한 빌딩 내에 있는 모든 컴퓨터들을 나타낼 수 있음) 내에 침투해 ARP 위장으로 해당 서브넷 내의 PC들을 감염시키는 기법을 쓰게 된 것이다. 어떤 컴퓨터에 ARP 위장 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 컴퓨터에 쉽게 악성코드가 설치될 수 있다. 이는 종전과 달리 사용자가 해킹된 웹사이트를 방문하지 않더라도 악성코드에 감염될 수 있다는 것을 의미한다.

 

2. 악성코드 감염 시 차단 및 예방법

- 사이트가드(기업은 사이트가드 프로)를 설치해 위험한 웹사이트 접속을 예방한다.

- V3 제품 엔진을 최신 버전으로 업데이트한다.

- 윈도우 보안 업데이트를 설치한다.

MS10-018 취약점 http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx

MS10-002 취약점 http://www.microsoft.com/korea/technet/security/Bulletin/ms10-002.mspx

- 아래 URL에 대해 방화벽 장비나 애플리케이션으로 차단한다.

http://www.xz******n.com

http://www.x***y.com

http://www.fa***e.com

http://www.e****l.com

- ARP 패킷을 유발하는 컴퓨터를 찾으려면 다음 방법을 사용한다.

1) [시작]  [실행]을 실행 후 cmd 입력 후 [확인] 버튼을 누른다.

2) 명령 프롬프트가 실행되면 ‘arp a’ 입력 후 아래와 같이 동일한 물리적 주소(Physical Address)가 존재하는지 확인한다.

 

 

3) 동일한 물리적 주소(Physical Address)가 있다면 ‘ARP 스푸핑 탐지/차단 전용 백신’(http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?webVaccBoardsVo.seq=73)을 다운로드해 실행한다. 실행한 후 잠시 기다리면 차단 로그가 나타난다. 차단된 내용 중 원격지 컴퓨터 주소의 IP가 악성코드에 감염된 컴퓨터이므로 V3 제품으로 검사 및 치료한다. <Ahn>