안녕하세요 호스트센터(주) 시스템관리부 시스템보안팀입니다. 

ARP Spoofing 공격 악성코드 확산에 따른 감염으로 인한 피해주의를 알려 드립니다. 
문의 : 02-6265-1108 
담당자 : 김봉기 

□ 개요

  o 최근 국내에서 ARP Spoofing을 통해 감염되고, 감염 시 네트워크를 마비 시키는 악성코드가 
     등장하여 주의가 필요함
  o 특히 네트워크 관리자는 내부 네트워크에서 ARP Spoofing 공격 여부를 주기적으로 탐지하고 
     공격 근원지를 파악하여 관련 악성코드가 실행 및 다운로드 되지 않도록 주의가 필요함


□ 전파방법

  o 최초 googleons.exe에 감염된 PC는 ARP Spoofing 공격
     - 해당 악성코드 감염시 네트워크에 존재하는 호스트 및 게이트웨이를 대상으로 ARP Reply를 
        지속적으로 보냄
     - 게이트웨이의 MAC 주소와 공격대상 호스트의 MAC 주소를 위조하는 ARP Reply를 지속적으로
        보냄

  o 감염된 PC와 동일 네트워크에 연결되어 있는 호스트들은 감염된 PC를 게이트웨이로 인식하게
     하여 모든 패킷을 모니터링 및 변조 할 수 있음 
     - ARP Spoofing공격으로 정상 호스트가 웹 접속 시 감염 PC는 패킷을 가로채고 아래와 같은 
        정보를 삽입해 악성코드 유포지 사이트로 유도

        ""

  o 악성코드 유포지 down.online[생략].net으로 유도된 PC중 아래와 같은 윈도우 취약점 패치가 
     안된 사이트는 googleons.exe에 감염됨

     - MS05-025
     - MS06-014
     - MS07-017
     - MS07-027


□ 악성행위 (googleons.exe)

  o 감염 PC와 동일 네트워크 대역 ARP Spoofing 공격


  o 동일 네트워크에 존재하는 PC들의 HTTP 통신 패킷 변조
       "" 삽입

  o USB를 통한 악성코드 전파

  o 감염 PC에 존재하는 .html, tml, asp, php, jsp 확장자에 아래와 같은 악성코드 삽입
     - ""

  o 감염시 생성되는 파일
     - C:\Document and Settings\[계정]\Local Settings\Temp\
         autoexec.bat (down.exe 최초 감염 악성코드, googleons.exe를 다운로드 및 실행)
         googleons.exe 
         disocoo.exe (실행뒤 삭제)
         npptools.dll
         Packet.dll
         WanPacket.dll
         yahoons.exe (실행뒤 삭제)
     - C:\windows\system32\ (yahoons.exe 실행에 의해 생성되는 파일들)
         dllhost32.exe
         mh104.dll
         moyu103.dll
         mosou.exe
         mydata.exe
         nwizwmgjs.exe
         nwizwmgjs.dll
         nwizzhuxians.exe
         nwizzhuxians.dll
         RAV00xx.exe등 다수

  o 부팅 후 재시작 할 수 있는 레지스트리에 등록
     - HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
     - 이름 : svc
     - 파일 이름 : googleons.exe


□ 감염여부 확인 및 치료방법 

  o 감염여부 확인
     - L3 또는 라우터에서 감염 PC 확인 
        중복 MAC 주소 IP 확인 (악성코드 감염 IP 확인)
       ※ krcert 홈페이지->기술문서->ARP Spoofing 공격 및 대책 참고

     - ARP Spoofing 피해 PC에서 공격 PC 확인
        전체 네트워크 Ping 스캔
        중복 MAC 주소 IP 확인

        
        ※ krcert 홈페이지->기술문서->ARP Spoofing 공격 및 대책 참고


     - 악성코드 감염 및 ARP Spoofing 공격 PC 확인
        C:\Document and Settings\[계정]\Local Settings\Temp\googleons.exe 존재여부 확인
        googleons.exe 프로세스 실행여부 확인 [아래 치료방법 참조]


  o 치료방법
     - C:\Document and Settings\[계정]\Local Settings\Temp\ 하위 악성코드들 삭제

       


     - 윈도우 시스템 폴더에 존재하는 악성코드들 삭제

        


     - googleons.exe 프로세스 끝내기
        "Ctrl" + "Alt" + "Del" 클릭 후 프로세스 메뉴에서 googleons.exe 프로세스 종료

        


     - 레지스트리 삭제
        googleons 재시작 레지스트리 삭제
        시작 → 실행 선택,   "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제 
        HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 

        


     . 기타 악성코드 레지스트리 삭제
       시작 → 실행 선택,   "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제 
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 

        

 


□ 예방 방법

  o 감염을 위한 사전 예방 방법
     - 윈도 OS 최신 패치 실시

        
□ 참고 : 인터넷 마케팅 센타