MS XML Core Service 제로데이 취약점 이용한 ARP스푸핑 공격 전용백신

1. 분 류 : 안티바이러스(백신)
2. 프로그램 : MS XML Core Service 제로데이 취약점 이용한 ARP스푸핑 공격 전용백신
3. 운영체제 : Windows XP/Vista/7
4. 라이선스 : 프리웨어 (기업/개인 등)
5. 제작자 : 이스트소프트
6. 사이트 : http://alyac.altools.co.kr
7. 다운로드 : [ 바로다운 ], [ 다운페이지 ]

* 바로다운이 안 될 경우, 다운페이지를 방문해서 다운로드 하시기 바랍니다.

알약 대응팀에서 Microsoft XML Core Service 제로데이 취약점을 이용한 ARP스푸핑 공격 전용백신을 발표했다.
ARP스푸핑 공격에 대응하는 전용백신이다.

물론 기업에서도 무료로 사용할 수 있는 프리웨어(freeware)이니, 회사에서 다른 백신을 사용중에 있더라도 이 전용백신을 다운로드해서 검사해도 라이선스상에서 문제는 없다.

ARP 스푸핑이 무슨 있인지 좀 어려울 수도 있다. 물론 자세히 알 필요는 없다.ㅋㅋ 몰라도 컴퓨터 사용에는 아무런 지장이 없기 때문이니까...
이해하기 어려울 수도 있는 간단히 말하면 ARP 스푸핑은 원본 IP주소와 MAC주소를 공격자가 변형을 하여 공격자가 정보를 가로채는 것이라하면 되나? ㅋㅋ 암튼 IP주소와 MAC주소가 서로 매칭이 되어 있는데, 둘 중 하나를 변형하여 공격자의 IP주소 혹인 MAC 주소로 연결되게 하여 정보를 가로채는 수법이다.
중간에서 연결고리를 변형하고, 나중에 공격자가 정보를 가로채거나 정보를 변형해서 잘못된 정보를 원래 사용자에게 주는 것이라고도 봐도 되겠다.

공격자가 원격으로 임의의 코드를 실행할 수 있는 코드 실행 취약점인 CVE-2012-1889 취약점을 악용하여 6월 중순부터 여러가지 형태의 악성코드가 유포되고 있습니다. 특히 6/27경부터는 ARP스푸핑 공격 기능을 포함한 악성코드들이 제로데이 취약점을 이용하여 유포되고 있으며, 아직 정식 보안패치가 릴리즈되지 않은 상황이기 때문에 감염된 PC가 포함된 같은 대역의 네트워크의 PC를 손쉽게 추가 감염시키고 있습니다.

또한, 감염된 PC는 ARP스푸핑 공격 시도 외에도 사용자PC의 Mac주소를 공격자에게 전송하며, 사용자PC에 추가 악성코드를 설치하여 공격자의 명령을 받게 되는 좀비PC로 만듭니다. 더욱 큰 피해가 우려되는 상황입니다.

알약에서는 현재 해당 악성코드들에 대해 Exploit.CVE-2012-1889.Gen / Trojan.Dropper.Agent.7508460 / Spyware.OnlineGames-GLG로 탐지중이며, 별도의 전용백신을 제작하여 배포중입니다.


[예방 방법]

해당 악성코드 감염이 확인되는 경우, 악성코드 치료 후 MS의 임시 보안패치 내용(http://support.microsoft.com/kb/2719615)을 참고하시어 Fix it 솔루션을 적용해주시는 것을 권장드립니다.
물론 정식 보안패치가 아니기 때문에 완전한 해결책은 될 수 없으므로 문제가 발생하는 경우 임시 해결책으로 사용하셔야 합니다.

알약에서는 해당 제로데이 취약점을 이용한 악성코드에 대해 지속적인 모니터링을 실시하고 있으며, KISA와 함께 악성코드를 유포하는 도메인에 대한 지속적인 차단 작업을 실시하고 있습니다.

[ 출처 - 알약 ]

1. 실행방법

- 전용백신 이기에 별도의 설치과정은 없다. 알약의 다른 전용백신과 마찬가지로 [검사]를 클릭하면 된다.
  드라이버가 여러개 있어서 그냥 c드라이브만 검사하기로 하기로 했다.

- 시간이 생각보다 많이 걸린다. 벌써 30분이 넘어가고 있다.ㅠㅠ

- 검사를 완료하니 별다른 메세지는 없다. 종료되었다는 표시만 나온다. 39분정도 걸렸다. 우아~

알약 전용백신으로 검사해서 아무일이 없으면 괜찮지만, 뭔가 발견이 되었다면 전용백신 말고 일반 백신으로도 검사를 하자. 그리고 윈도우즈 업데이트도 꼭 해 주도록 하자!
마이크로소프트 7월 정기 보안업데이트에서는 이에 대한 문제점을 보완한 업데이트판을 내 놓았다. 윈도우즈 보안 업데이트를 하시기 바란다.