화살표
보안패치보안관련 정보를 수집하여 고객님께 알려드리고 있습니다.
번호 제목 등록일
91 악성프로그램 유포사이트 차단 권고
2008-08-13
악성 프로그램 유포사이트 차단 권고
개요
ㅇ 최근 ARP Spoofing을 이용한 대규모 악성코드 은닉 사고가 발생하여 주의가
필요함
- 특히 1대의 PC가 악성코드에 감염되는 경우 동일한 네트워크에 있는 다른
PC들이 정상적인 사이트를 방문하더라도 악성코드에 감염될 수 있어 주의가
필요함
- 또한 악성코드 유포사이트에서 추가로 다운로드되는 악성코드를 통해 국내
온라인게임인 한게임, 던전 앤 파이터, 리니지 등의 게임 ID 및 패스워드를
유출하므로 주의가 필요함
전파 방법
ㅇ Adobe Flash Player나 MS 윈도우의 보안패치를 적용하지 않은 인터넷 사용자가
악성코드 경유사이트를 방문하면 자동으로 악성코드가 설치됨
- MS 윈도우의 MS06-014 보안 업데이트가 적용되지 않은 시스템
- Adobe Flash Player 9.0.115.0 이하 버전
※ 피해 PC에 MS 윈도우의 MS06-014 보안업데이트가 적용된 상태이나,
Adobe Flash Player에 대한 보안업데이트가 제대로 이루어지지 않은 경우
악성코드에 감염됨
ㅇ 이번에 발견된 악성코드는 USB 이동장치 및 네트워크 공유를 통한 전파기능도
구현되어 있어, 타 네트워크로 감염범위를 넓힐 수 있음
ㅇ 감염된 PC와 동일 네트워크에 연결되어 있는 호스트들은 감염된 PC를
게이트웨이로 인식하게 하여 모든 패킷을 모니터링 및 변조 할 수 있음
- ARP Spoofing공격으로 정상 호스트가 웹 접속 시 감염 PC는 패킷을 가로채고
아래와 같은 정보를 삽입해 악성코드 유포지 사이트로 유도
감염 후 증상
ㅇ 대규모 감염을 위한 arp 공격수행을 위하여, wincap library(wincap.exe) 파일과 arp
전용 공격 도구(arps.com 또는 arps.exe)를 설치하고 실행
ㅇ 국내 온라인게임인 메이플 스토리, 던젼 앤 파이터 등의 게임 ID 및 패스워드 유출
ㅇ 로컬네트워크에서 네트워크 서비스 장애 유발
※ 일반적으로 ARP Spoofing 공격의 경우, 악성코드 감염 외에도 DNS 파밍 공격
및 정보 유출 등 응용범위가 매우 넓으며, 피해가 발생할 경우 자신의 시스템
외에도 다른 사용자에게 피해를 주게 될 수 있어 주의가 필요함
권고 내용
ㅇ 악성프로그램 유포사이트에 대하여 방화벽 단에서의 차단을 권고 드립니다.
- 현재 인젠시큐리티서비스 관제센터에서는 NCSC(국가사이버안전센터)에서 제공된
악성프로그램 유포사이트의 리스트로 차단을 진행중에 있습니다.
* 별첨 악성프로그램유포사이트.txt(2008-08-05 일 버전)


악성프로그램 유포사이트

www.dacommi.com/service/p.vbs
116.193.89.27/index.htm
116.193.89.27/top/top.js
118.67.75.43/img/right/logo.exe
121.189.16.59/A.exe
121.189.16.59/index.htm
123e.910idc.com/cd.htm
125.131.141.60/jp/top.htm
125.131.141.60/jp/wm.html
203.236.39.115/date.exe
203.245.160.14/O/H.htm
211.107.105.10/Img/W.htm
211.115.81.78/htm/index.htm
211.115.81.78/htm/top.js
211.115.81.78/htm/X.htm
211.115.81.78/htm/XX.htm
211.174.62.82/index.htm
211.174.62.82/top/top.js
211.233.66.237/ist/index.htm
211.233.66.237/ist/M.htm
211.233.66.237/ist/MM.htm
211.233.66.237/ist/top.js
211.239.157.205/swf/I.htm
211.239.157.205/swf/II.htm
211.239.157.205/swf/X.htm
218.234.18.144/index.htm
218.234.18.144/top.js
218.38.28.68/i/i/M.htm
218.4.44.130/mama.htm
222.122.138.92/index.htm
222.122.15.173
222.122.157.173/index.htm
222.122.157.173/top.js
222.122.157.173/top/top.js
222.122.27.122/help/top/Top.htm
222.231.57.234/my/index.htm
222.231.57.234/my/T.htm
222.231.57.234/my/TT.htm
222.231.57.78/index.htm
222.73.15.200/js/js.exe
61.100.183.93/index.htm
61.151.239.209/hh/ff.swf
61.151.239.209/hh/ie.swf
61.151.239.209/hh/index.htm
61.74.73.136/index.htm
61.74.73.136/top/top.js
61.97.32.53/index.htm
about369.cn/1111111/ilink.html
about369.cn/1111111/index.htm
about369.cn/m.htm
about369.cn/www/14.js
about369.cn/www/r1.js
about369.cn/www/r2.js
antiee.cn\/news.html
choimimi.com/zboarde/css.htm
cosmetickr.co.kr/company/include_file/d.htm
defeee.cn/news.html
enenhk.cn/page/addr.js
enenhk.cn/page/rnb.htm?mor
hanafos.3322.org/web/r.exe
incheongh.com/LaoDing.Htm
incheongh.com/Ms06014.Htm
jnzuguo.cn/bbs/flink.html
juli.vaivai.net/BT/111/br.exe
korea0.com/img/right/logo.htm
korea0.com/img/right/logo01.htm
korea0.com/img/right/logo02.htm
kr.9966.org/Board/css/1600x1200.gif
kr.9966.org/Board/css/Info.js
kr.9966.org/postno.exe
mail.1919.cn/flash/index.htm
naver.8866.org/web/html/ilink.html
naver.8866.org/web/logo.gif
om.8800.org/mail.htm
om.8800.org/s.exe
pay.topservice.co.kr/index.htm
phi.or.kr/news/news/e.exe
pre.ebsmba.co.kr/Files/QNA/d.exe
qyuejr.w3.2008isp.cn/cowc/14.htm
qyuejr.w3.2008isp.cn/cowc/flash.htm
qyuejr.w3.2008isp.cn/cowc/index.htm
qyuejr.w3.2008isp.cn/cowc/index.htm
qyuejr.w3.2008isp.cn/cowc/re10.htm
qyuejr.w3.2008isp.cn/cowc/re11.htm
qyuejr.w3.2008isp.cn/sun/index.htm
seoul.ac/best/best_page.htm
sernx.cn/page/addr.js
sernx.cn/page/rnb.htm?3-8436?-2
stoe.co.kr/img/btn/14.htm
stoe.co.kr/img/btn/Ajax.htm
stoe.co.kr/img/btn/index.htm
stoe.co.kr/img/btn/r10.htm
tjwh202.162.ns98.cn/hg.htm
w2.xnibi.com/2.gif
w2.xnibi.com/bf.gif
w2.xnibi.com/index.gif
w2.xnibi.com/newlz2.gif
w2.xnibi.com/uu.htm
w2.xnibi.com/UU.ini
wenqio.cn/news.html
wuhaogao.1010zz.com/UUsee.htm
wuhaogao.go3.icpcn.com/lm.htm
ww.blueqiqi.cn
www.168user.com.tw/shop/9/inc/0614.htm
www.168user.com.tw/shop/9/inc/flash.htm
www.168user.com.tw/shop/9/inc/office.htm
www.168user.com.tw/shop/9/inc/shop.htm
www.aromaave.co.kr/board/image/icon/test.exe
www.aromaave.co.kr/board/image/titleimage/list.htm
www.aromaave.co.kr/board/list.htm
www.aromaave.co.kr/board/list.htm
www.baby60.com.cn/cc2.htm
www.bdsae.org.cn/bdsae/aa.htm
www.bdsae.org.cn/bx14.htm
www.bdsae.org.cn/bxlz.htm
www.bdsae.org.cn/f.htm
www.bdsae.org.cn/r10.htm
www.bdsae.org.cn/r11.htm
www.bdsae.org.cn/uusee.htm
www.bukak.or.kr/js/index.htm
www.dacommi.com/design_test/pr/06014.htm
www.dnf8q.com
www.duyy.com/jx/css/rd.exe
www.duyy.com/jx/css/rd.exe
www.edu-pass.com/image/flash/
www.envycard.com/image/doy.gif
www.gobada.co.kr/data/geditor/0804/2041665289_7976603e_P515003.exe
www.jnzuguo.cn/ilink.html
www.lkojih.cn/us.html
www.logingin.cn/news.html
www.mydearsister.net/css/index.htm
www.mydearsister.net/css/ww.htm
www.mzd009.cn/b1.htm?id=053
www.nihon.co.kr/cbbs/4.htm
www.nihon.co.kr/cbbs/4.htm
www.nihon.co.kr/cbbs/style.htm
www.pang321.cn/ff.swf
www.pang321.cn/ie.swf
www.pang321.cn/ms06014.js
www.pang321.cn/news.html
www.qyann.com/ggys.htm
www.qyann.com/ggys.htm
www.readersguide.co.kr/img_etc/2003/11.htm
www.sovo.co.kr/poll/A.exe
www.sovo.co.kr/poll/A.htm
www.sovo.co.kr/poll/A.htm
www.sovo.co.kr/poll/AA.exe
www.sovo.co.kr/poll/AA.htm
www.sovo.co.kr/poll/AA.htm
www.sovo.co.kr/poll/T.htm
www.system0day.cn/jj.exe
www.system0day.cn/wm/2.htm
www.toegye.ne.kr/back.htm
www.toegye.ne.kr/Laoding.htm
www.toegye.ne.kr/Server.exe.out.exe
www.ttokamsa.com/index.html
www.wechal.com/img/ad/m.htm
www.xinfeng.sh.cn/51la.asp
www.ytco.net/wow/ff.swf
www.ytco.net/wow/ie.swf
www.zjjxsafety.gov.cn/Ani.Htm
www.zjjxsafety.gov.cn/Ms060142.Htm
www.zjjxsafety.gov.cn/Real2.Htm
www.zjjxsafety.gov.cn/Yahoo2.Htm
www12.asphost4free.com/520muke/Activex.htm
www12.asphost4free.com/520muke/Ajax.htm
www12.asphost4free.com/520muke/flash.htm
www12.asphost4free.com/520muke/Jetaudio.htm
www12.asphost4free.com/520muke/mol.html
www12.asphost4free.com/520muke/ms06014.htm
www12.asphost4free.com/520muke/ms06067.htm
www12.asphost4free.com/520muke/real.htm
www12.asphost4free.com/520muke/works.htm
www12.asphost4free.com/520muke/yahoo.htm
yangxixing.512j.com/cm/xixizhu.htm
ytco.net/wow/index.htm
zhr2006.a112.zgsj.com/menu.htm