¿¡½ºÁö¾îµå¹êÅØÀº Áö³ 5ÀϺÎÅÍ Hosts ÆÄÀÏÀÌ Áö¼ÓÀûÀ¸·Î º¯°æµÇ°Å³ª Áß±¹¹ß ¼ºÀÎ ±¤°íâÀÇ ¹ß»ýÇÏ´Â Àå¾Ö Á¢¼ö°¡ Áö¼ÓµÇ°í ÀÖ¾î ±×¿¡ ´ëÇÑ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù°í 9ÀÏ ¹ÙÀÌ·¯½ºÃ¼À̼ ȨÆäÀÌÁö¸¦ ÅëÇØ ¹àÇû´Ù.
ÇöÀç ¹ß°ßµÈ ¾Ç¼ºÄÚµå´Â ´ÙÀ½°ú °°Àº Áõ»ó°ú Ư¡À» º¸ÀδÙ.
¡ã ÇØÅ·µÈ »çÀÌÆ®¿¡ »ç¿ëÀÚ°¡ Á¢±Ù, Ãë¾àÁ¡¿¡ ÀÇÇÑ ¹ÙÀÌ·¯½º°¡ ½ÇÇà¤ý°¨¿°
¡ã Áß±¹¾î ¼ºÀÎ ±¤°í Æ˾÷ ¹ß»ý
¡ã Áö¼ÓÀûÀÎ Hosts ÆÄÀÏ º¯°æ
¡ã À̵¿½Ä µð½ºÅ©ÀÇ ÀÚµ¿ ½ÇÇà ±â´ÉÀ¸·Îµµ ÀüÆÄ
ÀÌ¿¡ ¿¡½ºÁö¾îµå¹êÅØ ÃøÀº ¡°ÀÌ¿Ü¿¡µµ Áö³¹ø www.3929.cnÀ¸·Î ½ÃÀÛÆäÀÌÁö °íÁ¤ÇÏ´ø ¾Ç¼ºÄÚµå¿Í °°ÀÌ ÃÖÃÊ ¼³Ä¡µÈ ¾Ç¼ºÄÚµå(Trojan.NtRootKit.Based)¿¡ ÀÇÇØ ´Ù¼öÀÇ ¾Ç¼ºÄڵ尡 ´Ù¿î·Îµå ¹Þ¾Æ ¼³Ä¡ÇϹǷΠ°³ÀÎÁ¤º¸¸¦ À¯ÃâÇϰųª ARP Spoofing À» ÀÏÀ¸ÄÑ ³×Æ®¿öÅ© Àå¾Ö ¹ß»ý½Ãų ¼ö ÀÖ¾î ´õ¿í ÁÖÀǸ¦ ¹Ù¶õ´Ù¡±¸ç, ¡°¾Ç¼ºÄÚµå ³»ºÎ¿¡´Â MS08-067¿¡ ´ëÇÑ °ø°Ý Äڵ带 Æ÷ÇÔÇϹǷΠ»ç¿ëÀÚ´Â ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇÑ º¸¾È ÆÐÄ¡¸¦ ½Ç½ÃÇÒ °Í¡±À» ±Ç°íÇß´Ù.
¿¡½ºÁö¾îµå¹êÅØ Ãø¿¡¼ À̹ø ¾Ç¼ºÄÚµå¿Í °ü·ÃÇØ ¹àÈù »ó¼¼ÇÑ ³»¿ëÀº ´ÙÀ½°ú °°´Ù.
¡á ¹ÙÀÌ·¯½º ¿ä¾à
¡ã ÇØÅ·µÈ »çÀÌÆ®¿¡ »ç¿ëÀÚ°¡ Á¢±ÙÇØ Ãë¾àÁ¡¿¡ ÀÇÇÑ ¹ÙÀÌ·¯½º°¡ ½ÇÇàµÇ¾î °¨¿°
¡ã Á÷¿øµéÀº Æò¼Ò ÀÚ½ÅÀÌ ÀÌ¿ëÇÏ´ø À¥»çÀÌÆ® ¹æ¹® Áß Àº´ÐµÈ ¾Ç¼ºÄڵ尡 »ç¿ëÀÚ°¡ ¸ð¸£µµ·Ï À©µµ¿ì Ãë¾àÁ¡À» °ø°ÝÇØ ¼³Ä¡
¡ã Áõ»óÀº À¥ ºê¶ó¿ìÀú ¹«ÀÛÀ§·Î Æ˾÷ ±¤°í ¸Þ½ÃÁö ¼öÇà
¡ã ÃÖÃÊ ¼³Ä¡µÈ ¾Ç¼ºÄڵ忡 ÀÇÇØ ´Ù¼öÀÇ ¾Ç¼ºÄڵ尡 ´Ù¿î·Îµå
¡ã ´Ù¿î·Îµå µÈ ¾Ç¼ºÄÚµå Áß ÀϺΠARP SpoofingÀ» ÀÏÀ¸ÄÑ ³×Æ®¿öÅ© Àå¾Ö ¹ß»ý
¡ã Hosts ÆÄÀÏ º¯°æÀ¸·Î ƯÁ¤ º¸¾È »çÀÌÆ® Á¢¼Ó ºÒ°¡
¡ã À̵¿½Ä µð½ºÅ©ÀÇ ÀÚµ¿ ½ÇÇà ±â´ÉÀ¸·Îµµ ÀüÆÄ
ÀÌ¿¡ ¿¡½ºÁö¾îµå¹êÅØ ÃøÀº ¡°ÇØ´ç ¾Ç¼ºÄÚµå´Â ¸Å ½Ã°£¸¶´Ù »õ·Î¿î º¯Á¾ÀÌ ¹ß»ý(¹é¿© Á¾ ÀÌ»ó) ´ëÀÀÀÇ ¾î·Á¿ò Á¸À硱ÇÑ´Ù°í µ¡ºÙ¿´´Ù.
¡á ¹ÙÀÌ·¯½º À¯ÀÔ °æ·Î
À̹ø ¹ÙÀÌ·¯½º´Â Áß±¹ ¹ß ¹ÙÀÌ·¯½º·Î È®Àεǰí, º¸¾ÈÀÌ Ãë¾àÇÑ ±¹³»ÀÇ À¯¸í »çÀÌÆ®¸¦ °ø°ÝÇØ ÇØ´ç ¹ÙÀÌ·¯½º¸¦ À¥ ¼¹ö¿¡ Àº´ÐÇÏ°í ÀÖ´Ù.
»ç¿ëÀÚ´Â ÇØÅ·µÈ »çÀÌÆ®¿¡ Á¢±ÙÇØ ÃÖÃÊ À¯ÀԵǾúÀ¸¸ç À¯ÀÔµÈ ½Ã½ºÅÛÀº Ãë¾àÁ¡¿¡ ÀÇÇÑ ¹ÙÀÌ·¯½º ½ÇÇà.(¹Ì Àû¿ëµÈ À©µµ¿ì º¸¾È¾÷µ¥ÀÌÆ®)
ÀÌ¿¡ ¿¡½ºÁö¾îµå¹êÅØ ÃøÀº ¡°°¨¿°µÈ ½Ã½ºÅÛ¿¡¼ »ç¿ëÇÑ À̵¿½Ä µð½ºÅ©¸¦ ÅëÇÏ¿© »õ·Î¿î ½Ã½ºÅÛ¿¡ ÀüÆÄµÉ ¼ö ÀÖ´Ù¡±°í µ¡ºÙ¿´´Ù.
¡á Áõ»ó
¡ã ³×Æ®¿öÅ© Àå¾Ö (ARP Spoofing)
¡ã À¥ ºê¶ó¿ìÀúÀÇ Æ˾÷ ⠹߻ý
¡ã ·¹Áö½ºÆ®¸® ÆíÁý±âµî º¸¾È ÇÁ·Î±×·¥ÀÇ ½ÃÀÛ ºÒ°¡
¡ã ÀϺΠº¸¾È »çÀÌÆ® Á¢¼Ó ºÒ°¡ (Hosts ÆÄÀÏ ÆíÁý)
¡ã ½Ã½ºÅÛ ¿î¿µ Àå¾Ö (´Ù¼öÀÇ ¾Ç¼ºÄÚµå ´Ù¿î·Îµå ¹× ½ÇÇà)
¡á ¿øÀÎ
ÇØÅ·µÈ »çÀÌÆ®´Â ¹æ¹®Áö¿ø ½Ã¿¡ »ç¿ëÀÚ°¡ Á¢±ÙÇÑ »çÀÌÆ® ÃßÀûÇÏ¿´À¸³ª Á¤È®ÇÑ ÁÖ¼Ò°¡ È®ÀεÇÁö ¾Ê°í ÀÖÀ¸¸ç, ARP Spoofing¿¡ ÀÇÇÑ ³×Æ®¿öÅ© Àå¾Ö·Î ÆǴܵȴÙ.
ÀÌ¿¡ ´ºÅ×Å©¿þÀ̺ê ÃøÀº ¡°¹ÙÀÌ·¯½º ´Ù¿î·Îµå ÁÖ¼Ò´Â Çѱ¹Á¤º¸º¸È£ÁøÈï¿ø(KISA)¿¡ ¾÷¹« ÇùÁ¶¸¦ ¿äûÇØ ÇöÀç ÇØ´ç ÁÖ¼Ò°¡ Â÷´ÜµÈ »óÅ´١±°í µ¡ºÙ¿´´Ù.
¡á ¹ÙÀÌ·¯½º Ư¡
¡ã Rootkit
- ¹ÙÀÌ·¯½º ÀÚ½ÅÀÇ µ¿ÀÛÀ» ÀºÆóÇϱâ À§ÇÏ¿© »ç¿ëÇÏ´Â ±â¹ý
- ·çƮŶ µå¶óÀ̹ö¿¡ ÀÇÇÑ ÆÄÀÏÀÇ ¼û±è ¹× º¸È£
¡ã MS08-67 À©µµ¿ì º¸¾È ¾÷µ¥ÀÌÆ®(Server Service¿¡ Á¸ÀçÇÏ´Â ¿ø°ÝÄÚµå½ÇÇà Ãë¾àÁ¡)
- À©µµ¿ìÀÇ º¸¾È Ãë¾àÁ¡¿¡ ÀÇÇÑ ¾Ç¼ºÄÚµå À¯ÀÔ ½Ã ½ÇÇà µÈ °ÍÀ¸·Î È®ÀεÊ.
- À©µµ¿ì º¸¾È ÆÐÄ¡ ¾÷µ¥ÀÌÆ® ¼öÇà ±ÇÀå
¡ã ´ë·® ¹ÙÀÌ·¯½º À¯ÀÔ¤ý½Ã½ºÅÛ ¸®¼Ò½º Á¡À¯À² Áõ°¡·Î ÀÎÇÑ ½Ã½ºÅÛ Àå¾Ö ¹ß»ý
¡á ¼öµ¿ Á¶Ä¡
¾Æ·¡ ¼ºñ½ºÀÇ ±¸¼º¿ä¼Ò ÆÄÀÏÀº ¹ÙÀÌ·¯½º·Î ´ëüµÇ¹Ç·Î »èÁ¦ Á¶Ä¡ ÇÊ¿äÇÏ´Ù.
¡ã wiaservc.dll : À̹ÌÁö Àνļºñ½º
¡ã w32time.dll : ½Ã°£ ³¯Â¥ µ¿±âÈ ¼ºñ½º
¡ã srsvc.dll : ½Ã½ºÅÛ º¹¿ø ¼ºñ½º
¡ã appmgmts.dll : ¼ÒÇÁÆ®¿þ¾î ¼³Ä¡ ¼ºñ½º
¡ã schedsvc.dll : ÀÚµ¿È ÀÛ¾÷ ¹× ¿¹¾à ¼ºñ½º
ÇÑÆí ¿¡½ºÁö¾îµå¹êÅØ ÃøÀº ÀÌ¿Í °ü·Ã ¡°±â¾÷ °ü¸®ÀÚ´Â À©µµ¿ì º¸¾ÈÆÐÄ¡(MS08-067)¸¦ ¼³Ä¡ÇÏ°í, »ç¿ë ¹é½ÅÇÁ·Î±×·¥ÀÇ ¾÷µ¥ÀÌÆ® È®ÀÎÇÒ °Í¡±°ú ¡°Autorun.inf ¸¦ ÅëÇÏ¿© °¨¿°µÈ µå¶óÀÌºê ·çÆ®ÀÇ system.dll ½ÇÇàÇϹǷΠÀ̵¿½Ä ÀúÀåÀåÄ¡¿¡ ´ëÇÑ º¸¾È °È ÇØ´çÆÄÀÏ Á¸Àç È®ÀÎ ¹× »èÁ¦ Á¶Ä¡ Çʿ䡱ÇÏ´Ù°í ±Ç°íÇß´Ù.
[±èÁ¤¿Ï ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>