온라인게임 계정 탈취 악성코드 '주의보'…'아이온' 등

일반입력 :2010/09/07 17:52

이설영 기자

안철수연구소(대표 김홍선)는 최근 온라인 게임 계정을 탈취하는 악성코드가 일부 웹사이트를 통해 확산 중이라고 7일 발표했다.

이 악성코드는 'ARP스푸핑'을 통해 감염된 컴퓨터와 동일 네트워크에 있는 다른 PC에 전염되므로 개인은 물론 기업에서도 각별히 주의해야 한다. 현재 안철수연구소 시큐리티대응센터에는 네트워크 장애를 겪는 기업, 인터넷 뱅킹 접속이 안 되는 개인의 사례가 접수되고 있다.

APP스푸핑이란 동일 네트워크에 존재하는 공격 대상 PC의 IP 주소를 공격자 자신의 랜카드 주소와 연결해 다른 PC에 전달돼야 하는 정보를 가로채는 공격을 말한다. 어떤 컴퓨터에 ARP 위장 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 컴퓨터에 쉽게 악성코드가 설치될 수 있다.

사용자가 보안에 취약한 웹사이트에 접속하면 악성코드인 'yahoo.js' 파일이 실행되고 이어서 다른 악성코드가 다운로드 및 실행된다. 'yahoo.js' 파일의 코드를 풀면 'ad.htm' 'news.html' 'count.html' 파일로 다시 접근한다. 'ad.htm' 파일은 MS 인터넷익스플로러의 'MS10-018' 취약점을, 'news.html' 파일은 'MS10-002' 취약점을 이용해 's.exe' 파일을 다운로드 및 실행한다.

's.exe' 파일은 'C:WindowsSystem32' 폴더에 'xcvaver0.dll' 파일을 생성하는데, 이 파일이 '던전 앤 파이터' '아이온' '메이플 스토리' 등의 온라인 게임 계정을 유출하는 기능을 한다. 또한 같은 네트워크에 있는 컴퓨터에서 웹 서핑을 할 경우 'yahoo1.js(yahoo.js와 동일)' 파일로 접근하게 한다. 사내 컴퓨터 중 한대라도 감염돼 있으면 다시 전파될 위험이 있는 것이다.

이 악성코드의 피해를 막으려면 위험한 웹사이트 접속을 예방하고, 개인 및 사내 모든 컴퓨터를 안티바이러스 프로그램 최신 버전으로 업데이트한 뒤 윈도 보안 패치를 해야 한다.

관련기사

안철수연구소의 'V3' 제품군과 온라인 통합보안 서비스인 '안랩 온라인 시큐리티(AOS)', 유해 사이트 차단 서비스인 '사이트가드' 등은 'JS/Exploit' 'JS/Psyme' 'Dropper/Malware.42496.GF' 'Win-Trojan/Downloader.4608.AOS' 등으로 진단한다. 또한 안철수연구소는 ARP스푸핑의 진원지 컴퓨터를 탐지/차단할 수 있는 전용 백신을 별도 제공 중이다.

전성학 안철수연구소 시큐리티대응센터장은 "개인은 물론 기업에도 피해를 주는 악성코드이므로 개인과 웹사이트 관리자, 기업 네트워크 관리자 모두 각별히 주의해야 한다"고 당부했다.