"Hosts 파일을 변경하고 중국 광고 팝업 발생" 시키는 악성코드 확산 경고
안녕하세요 바이러스체이서 입니다.
지난 12월 5일부터 Hosts 파일이 지속적으로 변경되거나
중국발 성인 광고창의 발생하는 장애 접수가 지속되어 주의를 바랍니다.
현재 발견된 악성코드는 아래와 같은 증상과 특징을 가집니다.
o 해킹된 사이트에 사용자가 접근하여 취약점에 의한 바이러스가 실행되어 감염
o 중국어 성인 광고 팝업 발생
o 지속적인 Hosts 파일 변경
o 이동식 디스크의 자동 실행 기능으로도 전파
이외에도 지난번 www.3929.cn으로 시작페이지 고정하던 악성코드와 같이
최초 설치된 악성코드(Trojan.NtRootKit.Based)에 의해 다수의 악성코드가 다운로드 받아 설치하므로
개인정보를 유출하거나 ARP Spoofing 을 일으켜 네트워크 장애 발생시킬 수 있어 더욱 주의를 바라며
악성코드 내부에는 MS08-067 에 대한 공격 코드를 포함하므로 사용자 여러분은
해당 취약점에 대한 보안 패치를 실시하여 주시기 바랍니다.
이미 감염된 시스템은 바이러스체이서를 최신 업데이트하여 치료하여 주시거나
전용백신(http://www.viruschaser.com)을 통하여 치료가 가능합니다.
* 바이러스 정보
1. 바이러스 요약
o 해킹된 사이트에 사용자가 접근하여 취약점에 의한 바이러스가 실행되어 감염
o 직원들은 평소 자신이 이용하던 웹사이트 방문 중 은닉된 악성코드가 사용자가 모르도록 설치됨. (윈도우 취약점 공격)
o 증상은 웹 브라우저 무작위로 팝업 광고 메시지가 수행됨.
o 최초 설치된 악성코드에 의해 다수의 악성코드가 다운로드 됨
o 다운로드 되는 악성코드 중 일부에서 ARP Spoofing 을 일으켜 네트워크 장애 발생
o Hosts 파일 변경으로 특정 보안 사이트 접속 불가
o 이동식 디스크의 자동 실행 기능으로도 전파
o 또한, 해당 악성코드는 매 시간마다 새로운 변종이 발생하여(백여 종 이상) 대응의 어려움 존재
2. 바이러스 유입 경로
o 이번 바이러스는 중국 발 바이러스로 확인되고, 보안이 취약한 국내의 유명 사이트를 공격하여 해당 바이러스를 웹 서버에 은닉
o 사용자는 해킹된 사이트에 접근하여 최초 유입되었으며 유입된 시스템은 취약점에 의한 바이러스 실행.(미 적용된 윈도우 보안업데이트)
o 감염된 시스템에서 사용한 이동식 디스크를 통하여 새로운 시스템에 전파될 수 있음
3. 증상
o 네트워크 장애 (ARP Spoofing)
o 웹 브라우저의 팝업 창 발생
o 레지스트리 편집기등 보안 프로그램의 시작 불가
o 일부 보안 사이트 접속 불가 (Hosts 파일 편집)
o 시스템 운영 장애 (다수의 악성코드 다운로드 및 실행)
4. 원인
o 해킹된 사이트는 방문지원 시에 사용자가 접근한 사이트 추적하였으나 정확한 주소가 확인되지 않음.
o ARP Spoofing에 의한 네트워크 장애(자세한 정보는 첨부파일 참조)
o 바이러스 다운로드 주소-> 한국정보보호진흥원(KISA) 업무 협조 요청하여 해당 주소 차단된 상태
- http://u3.www-<생략>.com/ly/a4.exe 외 약 40개 URL 조치
5. 바이러스 특징
1) Rootkit
o 바이러스 자신의 동작을 은폐하기 위하여 사용하는 기법
o 루트킷 드라이버에 의한 파일의 숨김 및 보호
2) MS08-67 윈도우 보안 업데이트(Server Service에 존재하는 원격코드실행 취약점)
o 윈도우의 보안 취약점에 의한 악성코드 유입 시 실행 된 것으로 확인됨.
o 윈도우 보안 패치 업데이트 수행 권장
3) 대량의 바이러스 유입으로 시스템 리소스 점유율 증가로 인한 시스템 장애 발생
6. 수동 조치
o 아래 서비스의 구성요소 파일은 바이러스로 대체되므로 삭제 조치 필요
- wiaservc.dll : 이미지 인식서비스
- w32time.dll : 시간 날짜 동기화 서비스
- srsvc.dll : 시스템 복원 서비스
- appmgmts.dll : 소프트웨어 설치 서비스
- schedsvc.dll : 자동화 작업 및 예약 서비스
<삭제 방법>
1) 시작되고 있는 아래 서비스에 대한 “서비스 중지” 및 “사용안함” 설정
; 위의 대상 파일중 아래의 서비스만이 디폴트 “시작”으로 되어 있음
서비스 명 : W32Time (날짜 및 시간 동기화)
서비스 명 : Schedule (자동화 작업 및 예약 서비스)
서비스 명 : Srservice (시스템 복원 서비스)
2) 윈도우 재시작 후 전체검사
아래파일이 진단/치료 되어야함 (윈도우 정상파일과 동일한 경로/파일 이름가짐)
* 파일이 진단에 의해 삭제되면 dllcache 로부터 정상파일 복구됨.
3) 치료 후 서비스 복원 (아래 서비스를 “시작” 및 “자동” 으로 설정)
서비스 명 : W32Time (날짜 및 시간 동기화)
서비스 명 : Schedule (자동화 작업 및 예약 서비스)
서비스 명 : Srservice (시스템 복원 서비스)
7. 권장사항
o 기업 관리자는 윈도우 보안패치를 실시하여 주시기 바랍니다. (MS08-067)
o 바이러스체이서의 업데이트 확인
o 이동식 저장장치에 대한 보안 강화 - Autorun.inf 를 통하여 감염된 드라이브 루트의 system.dll 실행하므로
해당 파일 존재 확인 및 삭제 조치 필요