국내 온라인 게임 계정 유출 스파이웨어의 증가
최근 국내 온라인 게임의 계정 정보를 유출하는 스파이웨어가 지속적으로 발견되고 있다.
특히 MS06-014 취약점을 악용하여 실제 스파이웨어를 설치할 수 있다는 것이 알려짐에 따라 관련 취약점(Exploit)을 사용해서 스파이웨어를 설치하는 사례가 급격히 증가하고 있다.
해당 스파이웨어가 설치되면 관련 증상은 다음과 같다.
C:\Windows\system32\explorer.exe, C:\Windows\system32\dab1.dll 2개의 파일이 생성된다.
특히 dab1.dll은 스파이웨어가 실행되면 정상적은 다수의 프로세스에 주입(injection)되어 관련 프로세스를 모두 종료 시켜야만 제거할 수 있다.
위 파일들은 AhnLab의 SpyZero(2.0/ASP/V3 Internet Security 2007 Platinum)에서 Win-Spyware/PWS.Lineage 류로 진단 추가 되고 있다.
또한 관련 취약점(MS06-014)을 사용한 코드는 Win-Exploit/JS.Rds 로 진단 추가 되고 있다.
위 스파이웨어를 제거하려면 먼저 MS Windows의 보안 취약점 관련 업데이트를 확실하게 해야한다. 그렇지 않으면 아무리 치료를 했다 하더라도 재 감염은 불을 보듯 뻔한 사실이다.
가장 손쉬운 제거 방법은 autoexec.bat (자동 실행 배치 파일)을 사용하는 방법이다.
autoexec.bat는 윈도우 진입 이전에 console mode에서 실행된다. 따라서 이 파일을 사용하면 윈도우에서 제거하기 어려운 파일들을 손쉽게 제거할 수 있다.
방법은 autoexec.bat파일 가장 뒷 부분에 다음 2줄을 추가하면 된다.
del /f /q c:\windows\system32\explorer.exe
del /f /q c:\windows\system32\dab1.dll
단, c:\windows는 사용자의 컴퓨터에 윈도우가 설치된 경로에 따라 달라질 수 있다.
(Windows NT의 경우 C:\Winnt이다)
무것보다 중요한건 앞서 말했듯 윈도우의 취약점에 대해 철저히 패치를 해야 한다.
그리고 지속적으로 보안에 관련된 이슈를 확인하고 이를 조심 하는 것이 바람직하다.
(0) 
(0)
