안녕하세요?
이스트소프트 알약보안대응팀입니다.
현재 MS10-002, MS10-018 인터넷 익스플로러 취약점을 이용해 PC를 감염시키고,
ARP Spoofing 공격과 온라인 게임 계정을 탈취하는 악성코드의 감염이 급증하고 있어
PC 사용자들의 주의가 필요합니다.
지난 주말 국내 다수의 웹사이트가 해킹을 당해 웹사이트를 방문한 사용자PC로 하여금 악성코드를
다운로드 받는 스크립트들이 추가된 동향이 포착되었으며, 악성코드에 감염된 PC는 던전앤파이터,
아이온, 메이플 스토리 등의 온라인 게임 계정을 탈취하고, 추가 감염을 위해 ARP Spoofing 공격을
실행하기 때문에 외부와의 인터넷 연결이 원활하지 않을 수 있습니다.
현재 알약에서는 이들 악성코드에 대해 S.SPY.OnlineGames.kv, S.SPY.OnlineGames.kb,
V.DWN.Onlinegame.PA.Gen로 진단하고 있으므로, 반드시 알약을 설치하여
DB를 항상 최신버전을 유지해 주시고, 실시간 감시 기능을 활성화 해주시기 바랍니다.
만약, 인터넷 연결이 원활하지 않아 알약 업데이트가 되지 않는 PC의 경우 정상적으로 인터넷 연결이 되는
PC에서 알약 전용백신을 내려 받아 치료하시기 바랍니다.
<악성코드 감염 PC에서 과도한 ARP Response 패킷이 발생하는 화면>
<과도하게 발생된 ARP Response 패킷으로 인해 잘못된 게이트웨이 MAC 주소로 변경되게 되고
결과적으로 인터넷 연결이 원활하지 않게 됩니다.>
[치료 방법]
1) 알약 사용자께서는 DB를 항상 최신버전으로 유지해 주시고, 실시간 감시 기능을 활성화 시켜
주시기 바랍니다.
2) 현재 알약에서는 해당 악성코드 파일들을 S.SPY.OnlineGames.kv, S.SPY.OnlineGames.kb,
V.DWN.Onlinegame.PA.Gen로 진단하고 있으며, 제거가 가능합니다.
이미 감염된 PC에서는 반드시 알약을 설치하여 최신 DB로 업데이트 한 후 기본/정밀 검사를
실시해야 합니다.
※ 인터넷 연결이 원활하지 않은 PC의 경우 알약 전용백신을 정상적으로 인터넷 연결이 되는 PC
에서 내려 받아 치료해야 합니다.
<전용백신 다운로드>
<알약 공개용 다운로드>
[예방 방법]
※ 현재 악성코드를 다운로드 받는 서버들이 계속 활동 중이므로 주의가 요구됩니다.
1) 알약 DB 업데이트 상황을 항상 최신으로 유지해야 합니다.
2) 알약의 실시간 감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.
3) PC에 MS10-002 및 MS10-018 패치를 반드시 적용해야 합니다.
4) PC의 명령 프롬프트에서 “arp -s 게이트웨이 IP 주소 게이트웨이 MAC 주소”를 입력하면
Static으로 게이트웨이의 주소들이 고정되어 ARP Spoofing 공격으로 인해 발생되는 인터넷
불가 현상을 예방하실 수 있습니다.
예) arp -s 192.168.0.1 00-05-5B-84-A1-DE
[네트워크 관리자 안내]
xArp 프로그램(무료)를 PC에 설치해 실행하면 아래와 화면과 같이 ARP Spoofing 공격 여부를
탐지하실 수 있습니다.
참고로, 명령 프롬프트에서 “arp -a” 명령을 이용해 중복 MAC 주소를 찾아내 탐지하는 방법도 있습니다.
xArp 다운로드 주소 : http://www.chrismc.de/development/xarp/index.html
<xArp 프로그램의 ARP Spoofing 공격 탐지 화면>
<게이트웨이와 감염PC의 MAC 주소가 중복되어 있는 ARP Spoofing 공격 상태 화면>
<참고 사이트>
MS10-002 취약점 정보 :
알약 홈페이지 : http://alyac.altools.co.kr/SecurityCenter/Analysis/WeaknessView.aspx?id=20
Microsoft : http://www.microsoft.com/korea/technet/security/Bulletin/ms10-002.mspx
MS10-018 취약점 정보 :
알약 홈페이지 : http://alyac.altools.co.kr/SecurityCenter/Analysis/WeaknessView.aspx?id=30
Microsoft : http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx
'IT 보안소식' 카테고리의 다른 글
애플(Apple), iPhone iOS 4.1 업데이트 발표 (2) | 2010.09.09 |
---|---|
온라인게임 계정 탈취와 ARP Spoofing 공격에 대한 로그 및 간략분석 (2) | 2010.09.07 |
폰스토어(PhoneStore), "아이폰4" 개통 일정 드디어 발표했다. (0) | 2010.09.04 |
구글 크롬(Google Chrome), 속도의 끝을 보여준다 구글 크롬 6.0 업데이트 (8) | 2010.09.04 |
PacketStorm, "DLL Hijacking Exploit" 취약 프로그램 목록 (0) | 2010.08.26 |
댓글