PC방을 타켓으로 전파되는 악성코드 Posted By ASEC , 2011년 2월 16일 1. 서론 최근 피시방을 대상으로 온라인 게임 계정 탈취 및 원격 제어 프로그램을 설치하는 악성코드가 확인이 되어 해당 문서를 작성 합니다. 2. 감염 경로 최초 감염 경로는 불분명 하나 감염된 후 ARP Spoofing을 이용하여 웹페이지에 아래와 같이 Iframe 태그를 삽입하여 악성코드를 전파 하는 것으로 확인되었습니다. [그림 1] ARP Spoofing을 통해 삽입된 iframe 코드 3. 악성코드 감염 시 주요 증상 해당 악성코드에 감염이 되면 같은 네트워크에 있는 다른 시스템 역시 감염을 시키기 위해 ARP ARP 패킷을 다수 발생을 시키게 됩니다.그리고 감염된 시스템은 아래 경로에 아래와 같은 파일들이 생성됩니다. C:WINDOWSsystem32wbemH1A1.exe C:WINDOWSsystem32wbemH1A1_NDA_8.exe C:WINDOWSsystem32wbemPCBangMng.exe C:WINDOWSsystem32wbemUpdateService.exe C:WINDOWSsystem32wbemtranslator.dll C:WINDOWSsystem32wbemdllhost.exe C:WINDOWSsystem32wbemH1A1-DNA.dna C:WINDOWSsystem32wbemH1A1.html C:WINDOWSsystem32wbemTIMEDNA.dna C:WINDOWSsystem32wbemsys.rna C:WINDOWSsystem32wbemmongoose.exe C:WINDOWSsystem32wbemmongoose.conf 추가로 레지스트리를 수정하여 아래와 같은 행위를 합니다. 1) 윈도우 기본 방화벽 설정 80, 139, 445 허용 아래 프로세스에 대해 C:WINDOWSsystem32wbemdllhost.exe 허용 2) 서비스 등록…
