ARP Spoofing 악성 파일 유포자 다운로드 기능 재추가

2010년 중/하반기 경부터 국내에 집중하여 등장한 ARP Spoofing 악성 파일은 최근까지 그 변종이 지속적으로 유포되고 있다.
2010년 10월 15일경 ARP Spoofing 악성 파일 다운로드 기능이 제외된 변종이 발견되었으나, 2010년 10월 23일 해당 기능이 다시 추가되어 유포되기 시작했다.

◆ 다시 돌아온 ARP Spoofing!!

금전적 이득을 노린 특정 계정정보 등에 대한 탈취기능을 가지는 악성 파일 유포가 최종 목적인것은 동일하나, 보안에 취약한 웹 사이트에 접속 후 일부 MS 취약점을 악용하여 ARP Spoofing 변종 악성 파일에 대한 다운로드 기능을 다시 추가한것이 이번에 발견된 변종의 특징이다.

사진을 클릭하시면 확대화면을 보실 수 있습니다.

                     <ARP Spoofing 기능 악성 파일 및 특정 계정정보 등의 탈취 기능의 악성 파일 감염 시 생성파일>

※ 2010년 10월 23일 발견된 ARP Spoofing 유포기능이 추가된 변종의 감염경로

1. 변조된 웹 사이트 접속
2. 악성 자바 스크립트 파일인 img.js 다운로드 및 실행
3. 다운로드된 kol.htm, sky.html 등을 실행 후 메인 숙주파일인 s.exe 다운로드
4. s.exe 실행 후 smx4pnp.dll 파일 드롭, 또한 해당 dll파일에 의해 NyugWkrndf1.exe(특정 온라인 게임 계정정보 등에 대한 탈취목적 악성코드 숙주파일) 다운로드 및 실행 후 특정 계정정보 등에 대한 탈취목적 악성 파일 최종감염
5. smx4pnp.dll 파일에 의해 Niuytxtndf2.exe(ARP Spoofing 숙주파일) 다운로드 및 실행 후 ARP Spoofing 공격 악성 파일 최종감염

사진을 클릭하시면 확대화면을 보실 수 있습니다.

                                                         <난독화된 img.js 파일을 디코딩한 내부 코드>

사진을 클릭하시면 확대화면을 보실 수 있습니다.

                                                         <난독화된 kol.htm 파일을 디코딩한 내부 코드>

위 설명 및 그림들은 2010년 10월 23일 발견된 ARP Spoofing 악성 파일 다운로드 기능이 추가된 변종의 유포방식과 메인 숙주파일에 대한 다운로드를 시도하는 스크립트 파일의 상세한 내부구조이며, 이전과 다른점은 위의 스크립트 파일에서 다운로드 하는 메인 숙주파일이 smx4pnp.dll 파일을 드롭 후 ARP Spoofing 악성 파일과  특정 온라인 게임 계정정보 탈취목적을 가지는 악성 파일 다운로드 기능을 모두 가진다는 점이다.

2010년 10월 15일 발견된 변종 감염 시 나타났던 Hosts 파일변조, 감염된 PC의 버전정보 및 체크 count 등의 값을 저장하는 정보파일 생성 등의 증상은 이번에 발견된 변종에서는 나타나지 않았다.

이와 같은 ARP Spoofing 및 특정 온라인 게임 계정정보 등에 대한 탈취목적을 가지는 악성 파일로 부터 안전하기 위해서는 불필요하거나, 확인되지 않은 사이트에 대한 접근은 자제함과 동시에 사용중인 백신에 대해 최신 엔진 및 패턴 버전을 유지하는것이 필요하다.

현재 nProtect Anti-Virus 제품군 에서는 ARP Spoofing과 관련하여 보고된 변종에 대한 진단/치료기능을 제공하고 있으며, 금일 발견된 새로운 변종에 대해서는 곧 긴급 업데이트를 통해 진단/치료기능을 제공 할 예정이다.

[ 전용백신 다운로드 ]
http://www.nprotect.com/v7/down/sub.html?mode=vaccine_view&subpage=4&no=298

[ 기존 ARP Spoofing 악성 파일 유포자 기능 제외된 변종으로 배포 시작 ]
http://erteam.nprotect.com/19