ARP Spoofing 이란

MAC Address 변경 공격자의 컴퓨터로 모니터링 할 수 있는 공격법.

정보습득 이외에도 시스템장애를 일으키는 것도 가능하다.

감염경로(최초감염)

웹브라우저(변조된 페이지가 삽입된 홈페이지)접속 및 USB메모리 등을 통한 감염

D대학교의 사래

[감염원인]

D대학교의 경우 Adobe Flash의 취약점을 이용한 감염의심

[증상]

MAC Address 변경 공격에 의한 네트워크 장애

[바이러스 및 감염파일 확인]

Arp –a를 통한 spoofing 확인

([시작]-[실행]-[cmd]-[arp -a])

Process Explorer을 통한 의심파일 실행 및 의심dll 파일의 인잭션 여부확인

(nvsvc.exe, anszxc10.dll, anszxc20.dll, anhzxc.exe, smx4pnp.dll 등)

[바이러스 치료]

해당 바이러스 파일의 치료 및 레지스트리 치료

(파일

C:\Documents and Settings\Administrator\Microsoft 안의 smx4pnp.dll 및 smx4pnp.log 삭제

C:\WINDOWS\system32 안의 anhzxc.exe, anszxc10.dll, anszxc20.dll, nvsvc.exe 삭제

레지스트리

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run안의

nvsvc.exe, anhzxc.exe, smx4pnp.dll연결고리 삭제)

[백신 처리 내역]

금일 입수한 바이러스 DB 업로드 및 백신 프로그램 실행으로 바이러스 치료 확인

[치료 후 확인]

Arp –a 명령어를 통한 PC정상 작동확인

예방법

MS보안패치 최신 버전 유지 및 Adobe Flash 패치 최신 버전 유지

Microsoft Internet Explorer iepeers.dll Use-After-Free Exploit (MS10-018)
http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx

Aurora 취약점 (MS10-002)
http://www.microsoft.com/korea/technet/security/Bulletin/ms10-002.mspx

Adobe Flash Player 10.1 RC 7버전으로 업데이트

http://labs.adobe.com/downloads/flashplayer10.html