최근 ARP Spoofing 증상을 발생시키는 형태의 악성코드가 확인되었으며, 이로 인한 피해 사례가 다수 발생되고 있습니다.
2. 악성코드 감염 형태
최초 감염 경로는 불분명하나, 감염된 후에는 ARP Spoofing 을 통해 동일 네트워크 대역에 사용중인 시스템 확인 및 해당 시스템들의 ARP Table을 변조하여 웹페이지에 스크립트를 삽입, 악성코드를 전파합니다.
1) ARP Spoofing 공격 형태
악성코드에 감염된 시스템의 경우 아래와 같이 동일 네트워크 대역(C 클래스)를 통해 공격 가능한 시스템을 스캔합니다.

[그림 1] 동일 네트워크 사용중인 시스템 스캔
이후 [그림 2]와 같이 공격 가능한 시스템 리스트를 ARP Table 에 static 으로 적용합니다.

그리고 리스트에 해당하는 시스템들에 대해서 지속적인 ARP 패킷을 발생하여 ARP Table을 변조하게 됩니다.

[그림 3] ARP 변조를 위한 패킷 발생
위 공격으로 인해 지속적인 ARP 패킷을 받는 시스템의 경우, 아래와 같이 웹페이지 접속시 악성 스크립트가 삽입 및 실행되어 관련 윈도우 취약점이 존재하거나, V3 제품이 설치되지 않으신 경우 악성코드에 감염될 수 있습니다.

2) 감염 스크립트
ARP Spoofing 악성코드에 감염된 시스템에 의해, 웹사이트 접속시 아래와 같이 스크립트가 삽입됩니다.
해당 스크립트에 포함된 iframe 으로 연결되면, 시스템에 존재하는 윈도우 취약점(MS10-018, MS11-003)을 통해 악성코드에 감염됩니다.
// IE8, MS11-003
// IE6, MS10-018
삽입된 iframe에 의해 악성 스크립트가 실행되면, 아래와 같이 최종 실행파일이 다운로드되어 실행됩니다.
[그림 5], [그림 6]은 iframe 태그를 통해 연결되는 난독화된 스크립트 코드의 일부입니다.

[그림 5] MS11-003 취약점 이용, blank1.html

[그림 6] MS10-018 취약점 이용, blank3.html
3. 악성코드 감염 증상
해당 악성코드는 온라인 게임핵류 전파가 주 목적으로 보이며, ARP Spoofing 을 이용해 다수의 시스템에 전파하게 됩니다. (이 문서에서는 ARP 유발과 관련된 일부 파일들에 대해서만 작성하겠습니다.)
그리고 감염이 되면 아래와 같은 파일들을 생성합니다.
C:WINDOWSTempconime.exe
C:WINDOWSTasks[숫자]svchost.exe
C:WINDOWSMicrosoftManagementConsole_0.dll
시스템 재시작시 동작할 수 있도록 아래와 같이 레지스트리에 등록합니다.
“C:WINDOWSsystem32userinit.exe,C:WINDOWSTasks 00c00290eb07a0170svchost.exe”
HKLMSYSTEM ControlSet001Services[서비스명]ParametersServiceDll
“C:WINDOWSMicrosoftManagementConsole_0.dll”
추가적으로, 일부 시스템에서 감염시 윈도우 정상 파일인 userinit.exe 파일을 악성코드로 교체하는 증상이 발견되었습니다.
4. V3 진단현황
현재 V3 제품에서는 아래와 같은 진단명으로 진단을 하고 있으니, 엔진을 최신버전으로 업데이트하신 후 정밀 검사 및 치료를 진행해 보시기 바랍니다.
Win-Trojan/Agent.64512.GG (2011.03.04.00)
Dropper/Agent.63488.AD (2011.03.06.02)
Win-Trojan/Agent.11997796 (2011.03.08.05)
Win-Trojan/Agent.95853156 (2011.03.08.00)
Win-Trojan/Agent.11998308 (2011.03.08.05)
Win-Trojan/Agent.95853156.B (2011.03.08.05)
Win-Trojan/Agent.24064.XE (2011.03.08.01)
Win-Trojan/Downloader.25600.IM (2011.03.09.00)
Trojan/Win32.OnlineGameHack
만일, 해당 악성코드에 감염되어 V3 제품이 정상적으로 동작하지 않을 경우 아래의 방법으로 조치하시기 바랍니다.
http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3kill_ts.exe
2) 시스템을 재부팅 후, V3 제품을 최신 엔진으로 업데이트 및 시스템 전체 검사를 수행합니다.
Categories:조치 가이드