변종 맥중복 바이러스 증상과 대처방법
ARP Spoofing Malware
http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3arpspoofer.exe
* 실행 전 주의 및 참고 사항은 다음과 같습니다. 이와 같이 모든 악성코드가 대상이 되지는 않으며 알려진 형태만을 진단/치료 합니다. 하시기 바랍니다. 또한 전용백신의 동작중 다른 응용 프로그램의 실행은 가급적 권장 하지 않습니다. 버전에서는 정상동작 하지 않습니다. |
피씨방브이에 올라온 글을 퍼왔습니다.
2/7일부터 변종 맥중복 바이러스 신고가 접수되고 있읍니다.
증상은 하나의 맥이 여러개의 IP를 점유하는현상으로 예전과 동일하지만
예전에는 한 PC방당 1~2개 PC가 감염되었지만, 최근에는 다수의 PC가 감염되는 증상으로 백중복 PC를 모두 색출하기는
어려운 상황입니다,
PC방 신고들어올시 맥중복으로 확인시 기업품질팀에서 1차 처리는 시행하고 있지만
고객들은 방문하여 처리해달라는 요구가 증가하고 있읍니다.
처리방법은 아래 처럼 안철수랩에 들어가 백신을 설치하면 치료, 모니터링이 가능하고 무료입니다.
따라서 맥중복 바이러스 고객문의시 아래 내용을 안내하시기 바랍니다.
- - 아 래 - -
안철수랩 ARP Spoofing 관련 사이트 공유합니다.
- 참고사이트
http://core.ahnlab.com/223 - > 치료백신
- ARP Spoofing 탐지 프로그램 :
http://download.ahnlab.com/vaccine/V3_FirstBlock_for_ARP_Spoofing_Detection.exe -> 탐지 (카운터 PC에 설치하여 실행시 게임방 PC 모니터링 가능)
설명절 연휴가 지나고 전사적으로 PC방 MAC 중복 바이러스 관련 문의가 기승을 부리고 있습니다.
(지난 1월 부터 간헐적으로 발생하였지만, 전일부터 증가 추세)
※ 맥중복 장애접수현황 (2월 7월 ~ 현재) : 59건
※ 맥중복 장애현상
1. 대부분 CISCO 4503장비에 수용된 고객들이 피해고객이며 장비 CPU 부하 발생중.
2. 맥중복이 발생하더라도 서비스 영향없는 고객들도 상당수(맥중복 잠재고객으로추정)
: CPU 부하가 지속적으로 유지(60% 이상)되고 있어 risk 상존.
3. 장애조치시, 문제되는 MAC을 검출(현장에서 XARP 또는 MACwatch 프로그램 이용),
Lan 케이블 제거 및 포맷을 통해 복구(백신으로 검출 불가)중이나,
불특정 다수의 PC가 발생하여 처리에 장시간 소요되어,
고객요청으로 현장에서 지원하는데 여려움을 겪고있는 상황임.
이에 기업품질팀에서는 관련부서(보안운영팀/IP망운영팀/NW팀)와 공조해서
장애현상 및 처리방안등 현황파악을 통해 근본적인 원인 및 대안을 도출할수 있도록
업무협조가 필요한 상황입니다.
현장의 상황을 적극적으로 검토하여주시기를 요청드립니다.
[출처] PcbangV - http://www.pcbangv.com/bbs/board.php?bo_table=B43&wr_id=1425
내용
증상은 아래와 같습니다
위의 그림과 같이 한 매장 내에서 다른 IP를 사용하고 있는 PC에서 같은 맥 중복 현상을 보이고 있습니다.
이럴 경우 원도우는 먼저 접속된 IP에서 인터넷을 사용하거나 게임을 실행 할 경우 2번째로 같은 IP를 사용하는 경우에는 IP주소 경고창이 나타나면서 2번째 PC로는 인터넷이나 게임으로 접속할 수 없습니다.
맥 어드레스 중복은 IP중복과 달리 사용자가 찾기가 힘든데 이런 경우에는 해당 ISP(회선 공급사)에 문의 하시면 실시간으로 IP 및 맥 어드레스 조회가 가능하니 장애를 처리하시면 됩니다.
증상은 한 개의 맥 어드레스로 다른 PC가 맥 에 변조되는 경우는 바이러스 감염이 그 원인이며 아직 정확하게 바이러스 명은 밝혀지지 않았으나 대처 방법은 원도우 보안 취약한 부분은 타고 들어오고 있으니 주기적인 바이러스 검사와 항상 컴퓨터는 최신 원도우 보안 패치를 해 놓으셔야 합니다.
두 번째 맥 중복현상 발생
A PC방 장애신고 후 매장을 방문해 보니 전체 PC댓수 160대 중 110대 가량이 인터넷이 안되고 있었습니다.
이런 유형은 앞에서 설명한 맥 중복 현상과 동일한 증상입니다.
증상
1.손님들이 하나둘씩 인터넷 페이지가 늦게 뜬다고 얘기를 함
2.FPS 게임 유저들이 카운터에 와서 핑이 높아 진다고 함
3.직접 인터넷을 해보면 갑자기 인터넷 팍 끊기는게 아니라 서서히 인터넷이 느려지면서 그 다음에는 접속 자체가 안됨
혹시나 PC방에서 이런 증상을 보이시면 맥 중복이라고 판단 하시고 회선 공급사에 문의 하시면 됩니다.
아래그림은 똑 같은 맥 중복이나 첫 번째 올렸던 PC방과는 다른 PC방 이므로 다시 맥 종복 현상을 보일때와 정상적인 상태 일때를 비교 하기 위해서 다시 올립니다.
아래 그림에서 보시면 IP address는 실제 매장 IP를 나타내며 HWaddress는 맥 어드레스를 말합니다.
이와같이 맥 중복이 부분적으로 일어 날 경우에는 무척 당황스러운데 이 문제의 해결 방법은 2가지가 있습니다.
일단 간단한 방법은 10대 미만의 PC에서 맥 중복을 일으킬 경우에는 해당 맥 중복 IP는 의 해당 PC를 찾아 랜 선을 뽑으시면 전체 PC를 다 살릴수가 있습니다. 이런 후에 맥 중복된 PC를 포맷 또는 하드 카피 복원등의 방법으로 복구 하시면 됩니다.
그리고 주로 PC방에서는 복구를 자주 한다고 백신 프로그램을 사용하지 않으시는데 이런 경우 아주 위험합니다.
홈피 자료실에 있는 메가닥터를 다운 받으신 후에 설치 후 바이러스 검사를 꼭 하셔야 합니다.
주로 맥 중복의 원인은 중국 사람들이 많이 사용하는 화상채팅 프로그램 그리고 QQ 닷컴(중국 넷마블) 또는 바탕화면에 주로 보셨을 텐데 펭권 모양의 아이콘이 설치된 PC에서는 꼭 이런 증상을 보입니다.
A PC방 -> 너무 맥 중복이 방대하여 할수 없이 매장에 있는 손님들을 모두 내 보내고 중복 된 맥 주소
00:E0:4D:07:D7:CE를 매장에 있는 PC를 한대씩 열어서 찾는 방법을 선택하였습니다.
맥 중복의 원인은 간단합니다. 00:E0:4D:07:D7:CE 이 맥 주소를 가지고 있는 PC가 바이러스 감염되어 WORM 에 감염되어 한 PC방 네트웍에 있는(로컬네트워크) 허브로 연결되어 있는 모든 PC들에게 자기 맥을 임의 다른 PC들에게 뿌립니다. 감염시킨다는 말이 더 어울릴 것 같습니다.
위에서 말했듯이 중복된 맥 주소가 10개 미만 또는 더 작은 수라면 쉽게 자기 고유 맥을 다른 피씨로 전파시키는 PC를 찾을 수 있으나 A PC방처럼 절반 이상이 감염된 집은 조금 고생을 해야 합니다.
저희도 일단 바이러스 감염된 PC를 찾아서 메가닥터 로 치료를 하였습니다.
예전에는 바이러스 체이서를 가장 선호 하였으나 요즘에는 새로나온 카스퍼 스키를 선호하시는 분들은 많으십니다.하지만 전 메가닥터를 적극적으로 추천해 드립니다.
이제껏 PC방에서 발생되는 문제는 타 백신이 아니라 메가닥터로 모두 치료 하였으므로 전 지금 메가닥터를 추천해 드립니다.메가닥터의 기능들이 많은 기능 소개는 다음 장에서 다시 하겠습니다.
아래 그림은 해당 PC의 바이러스 감염된 화면입니다.
-> 그림은 못올렸음.. ㅡ.ㅡ;
앞에 글에도 설명했듯이 트로이 목마/해킹툴 같은 경우에는 전체 네트웍(인터넷)에는 많은 영향을 주지 않으나 win32,worm 엄청난 영향을 줍니다.
요즘에야 MS에서 취약한 보안패치를 빨리 내 놓았지만 4~5년 전만 해도 WORM에 감염되면 PC방을 문을 닫고 허브에서 랜선을 모두 뽑은 후에 전체 PC를 다시 작업할 정도로 고생이 많았습니다.
지금 생기는 증상을 일부에는 웹에 올라와 있는 ARP 스푸핑이라고 말씀 하시는 분들도 있는데 ARP 스푸핑 이면 확실하게 원도우 작업관리자에 해당 프로세스가 동작을 합니다.
이 PC방 같은 경우에는 ARP 스푸핑은 아니고 단순한 맥 중복 또는 맥 변조입니다. 원인은 바이러스에 의해서 그러니 혹시 매장을 운영하시다가 조금이라도 인터넷이 느려지다가 한 대씩 두 대씩 인터넷이 안되는 경우에는 맥 중복을 의심하시고 코넷 080-789-0099로 문의 하시면 됩니다.
-------------------------------------------------------------------------------------------