취약 웹사이트 방문 시 감염..사내 네트워크로 전파
안철수연구소는 7일 최근 온라인 게임 계정을 탈취하는 악성코드가 일부 웹사이트를 통해 확산 중이라고 경고했다.
특히 이 악성코드는 ARP 스푸핑(ARP Spoofing)을 통해 감염된 컴퓨터와 동일 네트워크에 있는 다른 PC에 전염되므로 개인은 물론 기업에서도 각별히 주의해야 한다. 현재 안철수연구소 시큐리티대응센터에는 네트워크 장애를 겪는 기업, 인터넷 뱅킹 접속이 안 되는 개인의 사례가 접수되고 있다.
사용자가 보안에 취약한 웹사이트에 접속하면 악성코드인 'yahoo.js 파일'이 실행되고 이어 다른 악성코드가 다운로드 및 실행된다. yahoo.js 파일의 코드를 풀면 'ad.htm, news.html, count.html 파일'로 다시 접근한다. ad.htm 파일은 MS 인터넷 익스플로러의 MS10-018 취약점을, news.html 파일은 MS10-002 취약점을 이용해 s.exe 파일을 다운로드 및 실행한다.
's.exe 파일'은 C:\Windows\System32 폴더에 xcvaver0.dll 파일을 생성하는데, 이 파일이 던전 앤 파이터, 아이온, 메이플 스토리 등의 온라인 게임 계정을 유출하는 기능을 한다. 또한 같은 네트워크에 있는 컴퓨터에서 웹 서핑을 할 경우 yahoo1.js (yahoo.js와 동일) 파일로 접근하게 한다. 사내 컴퓨터 중 한대라도 감염돼 있으면 다시 전파될 위험이 있는 것이다.
현재 이 악성코드은 안철수연구소를 비롯해 일부만 진단, 치료하는 상태이다. 이 악성코드의 피해를 막으려면 사이트가드(기업은 사이트가드 프로)를 설치해 위험한 웹사이트 접속을 예방하고, 개인 및 사내 모든 컴퓨터를 V3 최신 버전으로 업데이트하고 윈도우 보안 패치를 해야 한다.
전성학 시큐리티대응센터장은 “개인은 물론 기업에도 피해를 주는 악성코드이므로 개인과 웹사이트 관리자, 기업 네트워크 관리자 모두 각별히 주의해야 한다”고 당부했다.
