최근 악성코드 중 ARP Spoofing 증상을 발생하는 악성코드가 확인되었습니다. 해당 악성코드에 대해 조사를 하여 확인된 바 국내의 다수의 사이트에 해당 악성코드를 감염시키는 악성 스크립트가 삽입되어 있음을 확인하였으며 다수의 피해가 우려되어 해당 정보를 공유하고자 해당 문서를 작성합니다.
또한 본문 하단의 ARP Spoofing 탐지/차단 툴은 ARP Spoofing 패킷을 유발하는 시스템을 탐지/차단하는 툴이며 해당 시스템을 치료하기 위해선 V3제품군 또는 v3arpspoofer.exe 전용백신으로 진단/치료하시기 바랍니다.
ARP Spoofing 탐지/차단 툴 : ARP Spoofing 패킷을유발하는 시스템을 탐지/차단하는 툴
ARP Spoofer 전용백신 : ARP Spoofing 악성코드에 감염된 시스템을진단/치료 하기위한 전용백신
2. 악성코드 감염 경로
해당 악성코드는 웹사이트에 삽입된 악성 스크립트로 인해 악성코드를 다운로드 및 실행하게 되어 감염되게 됩니다. 국내의 다수 사이트에 해당 악성 스크립트가 삽입되어 있음을 확인하였으며 어떤 취약점을 통해 감염되게 되는지 확인해 보도록 하겠습니다.
우선 대다수의 사이트에 삽입된 악성코드의 형태는 아래와 같습니다.
L http://www.xz******n.com/ad/yahoo.js
L http://www.xz******n.com/ad/ad.htm
L http://www.x***y.com/image/s.exe
L http://www.xz******n.com/ad/news.html
L http://www.x***y.com/image/s.exe
L http://www.xz******n.com/ad/count.html
http://www.f****e.com/js/yahoo.js
L http://www.f****e.com//ad.htm
L http://www.e****l.com/images/s.exe
L http://www.f****e.com//news.html
L http://www.e****l.com/images/s.exe
문제의 악성 스크립트 파일은 yahoo.js 파일 입니다. 해당 내용을 살펴보면 아래와 같습니다.
i\I”)',58,58,'x65|x74|x69|x61|x6D|x72|x2E|x68|x2F|x3D|x64|x77|x6F|x63|x73|x6E|x20|x30|x29|x6C|x75|x70|x28|x66|x5C|x78|x22|x67|x3B|x36|x3E|x3C|x31|x6A|x27|x35|x79|x7A|x3A|x2A|x54|x2B|x6B|x76|x7D|x2C|x57|x7C|x53|x4D|x47|x59|x44|x38|x7B|x2D|x4F|eval'.split('|'),0,{}))
해당 악성 스크립트는 분석을 어렵게 하기위해 인코딩을 해놓았으며 풀어보면 아래와 같이 ad.htm, news.html, count.html 의 파일로 다시 접근함을 알 수 있습니다.

우선 접근한 3개의 파일 중 ad.htm 파일을 먼저 분석해 보도록 하겠습니다.
{
memory[i] = nops+nops+shellcode;
}
function payload()
{
var body = document.createElement(“BODY”);
body.addBehavior(“#default#userData”);
document.appendChild(body);
위 내용은 ad.htm 파일의 일부 내용으로 Microsoft Internet Explorer iepeers.dll Use-After-Free Exploit (MS10-018) 취약점을 이용하여 s.exe 파일을 다운로드 및 실행을 하는 악성 스크립트로 확인되었습니다.
다음으로 news.html 파일을 분석해 보도록 하겠습니다.
initialize();
spray_heap();
}
else
window.location = 'about:blank'