특히 이 악성코드는 ARP 스푸핑(ARP Spoofing; 보충자료1)을 통해 감염된 컴퓨터와 동일 네트워크에 있는 다른 PC에 전염되므로 개인은 물론 기업에서도 각별히 주의해야 한다.
현재 안철수연구소 시큐리티대응센터에는 네트워크 장애를 겪는 기업, 인터넷 뱅킹 접속이 안 되는 개인의 사례가 접수되고 있다.
사용자가 보안에 취약한 웹사이트에 접속하면 악성코드인 yahoo.js 파일이 실행되고 이어서 다른 악성코드가 다운로드 및 실행된다.
yahoo.js 파일의 코드를 풀면 ad.htm, news.html, count.html 파일로 다시 접근한다. ad.htm 파일은 MS 인터넷 익스플로러의 MS10-018 취약점을, news.html 파일은 MS10-002 취약점을 이용해 s.exe 파일을 다운로드 및 실행한다.
s.exe 파일은 C:WindowsSystem32 폴더에 xcvaver0.dll 파일을 생성하는데, 이 파일이 던전 앤 파이터, 아이온, 메이플 스토리 등의 온라인 게임 계정을 유출하는 기능을 한다.
또한 같은 네트워크에 있는 컴퓨터에서 웹 서핑을 할 경우 yahoo1.js (yahoo.js와 동일) 파일로 접근하게 한다. 사내 컴퓨터 중 한대라도 감염돼 있으면 다시 전파될 위험이 있는 것이다.
현재 이 악성코드은 안철수연구소를 비롯해 일부만 진단/치료하는 상태이다.
이 악성코드의 피해를 막으려면 사이트가드(기업은 사이트가드 프로)를 설치해 위험한 웹사이트 접속을 예방하고, 개인 및 사내 모든 컴퓨터를 V3 최신 버전으로 업데이트하고 윈도우 보안 패치를 해야 한다.
V3 제품군과 온라인 통합보안 서비스인 ‘안랩 온라인 시큐리티(AOS)’, 유해 사이트 차단 서비스인 ‘사이트가드’ 등은 JS/Exploit, JS/Psyme, Dropper/Malware.42496.GF, Win-Trojan/Downloader.4608.AOS 등으로 진단한다.
또한 안철수연구소는 ARP 스푸핑의 진원지 컴퓨터를 손쉽게 탐지/차단할 수 있는 전용 백신을 별도 제공 중이다.
※ 여러분의 제보가 뉴스가 됩니다. 각종 비리와 부당대우, 사건사고와 미담, 소비자 고발 등 모든 얘깃거리를 알려주세요
이메일 : webmaster@enewstoday.co.kr
카카오톡 : @이뉴스투데이