Goodcode(?) 정보

□ 개요

o 국내외 1,000 여개 홈페이지를 해킹하여 홈페이지 방문 PC를 감염시키는 사례가
확인되어 개인 사용자 및 웹서버 관리자의 주의가 필요함

□ 설명

o MS 보안취약점인 MS06-014에 대한 보안패치를 적용하지 않은 인터넷 사용자가
악성코드 경유사이트로 이용된 1,000여개 홈페이지를 방문할 경우 자동으로
트로이목마 프로그램이 설치됨

o 해당 트로이목마는 국내 온라인게임인 한게임과 메이플스토리의 접속 ID 및 패스워드를
해외 공격자에게 유출시킴

□ 예방책

o 개인 PC 사용자 예방책
- 해당 취약점(MS06-014)에 대한 마이크로소프트사의 보안패치 적용
(http://www.microsoft.com/technet/security/bulletin/MS06-014.mspx)

- 보호나라의 PC 자동 보안 업데이트 프로그램 설치
(http://download.pcsmile.co.kr/pcsmile/PCSmileInstaller.exe)

- 최신 바이러스 백신을 이용한 주기적인 점검

o 웹서버 보안 관리 대책
- 안전한 웹 프로그램 개발
＊ 웹 어플리케이션 보안 템플릿 :
http://www.krcert.or.kr/cyberSecureManual/webapp.jsp
＊ 홈페이지 개발보안 가이드 :
http://www.krcert.or.kr/cyberSecureManual/hpdev.jsp

- 공개 웹 방화벽을 이용한 웹 보안 강화
＊ 공개 웹 방화벽 다운로드 :
http://www.krcert.or.kr/cyberSecureManual/pre_firewall.jsp

- 웹 취약점 점검
＊ 원격 점검 서비스 신청 :
http://webcheck.krcert.or.kr/index.html

- ARP Spoofing 예방 및 탐지
＊ 게이트웨이에서 동적 ARP Table 대신 정적 ARP Table 사용
＊ arpwatch(http://ee.lbl.gov) 등 도구를 이용한 ARP cache 모니터링

- 웹 해킹 사고 발생시 분석 절차
＊ 침해사고 분석절차 가이드 :
http://www.krcert.or.kr/docDown.jsp?dn=10


□ 개인 PC 감염 시 수동 치료 방법
※ 2007년 2월 7일 현재 대부분의 바이러스 백신에서 해당 악성코드의 탐지 및 치료가
가능하며, 바이러스 백신이 없을 경우 아래의 치료방법 사용을 권장함

▷ 감염 시 치료 절차 요약
① 안전모드로 부팅 → ② 악성코드 alg.exe 삭제 →
③ 악성코드에 의하여 손상된 Winsock 복구 →
④ 악성코드 okviewer4.dll 삭제 → 재 부팅


▷ 상세 치료 절차

① 안전모드로 부팅
윈도우를 다시 시작하여 안전 모드로 부팅한다.(부팅시 F8을 누른 후 안전모드 선택)

② 악성코드 alg.exe 삭제
트로이목마가 윈도우 폴더(Windows NT/2000의 경우 c:winnt, Windows XP의 경우
c:windows)에 생성한 alg.exe를 삭제한 후 재부팅 한다.

※ 주의 : 정상적인 alg.exe는 시스템 폴더(Windows NT/2000의 경우 c:winntsystem32,
Windows XP의 경우 c:windowssystem32)에 있으며 이 파일을 삭제해서는 않됨

③ 악성코드에 의하여 손상된 Winsock 복구(MS社 권장 Winsock 복구방법)

※ 주의 : Winsock 복구 후, 바이러스 백신의 인터넷 감시기능, 개인방화벽 또는
프록시 클라이언트 등 인터넷에 액세스하거나 인터넷을 모니터링하는 프로그램들이
올바르게 작동하지 않을 수 있으며, 이러한 문제 발생 시에는 해당 프로그램을
다시 설치하여 기능을 복원하여야 함

▶ 윈도우 XP SP2 일 경우의 Winsock 복구방법
[Step1] 시작 → 실행 → cmd.exe 를 입력 후 확인

[Step2] netsh winsock reset 명령 실행

[Step3] 재 부팅

▶ 윈도우 XP SP1 일 경우의 Winsock 복구방법

[Step1] 시작 → 실행 → regedit 를 입력 후 확인

레지스트리 편집기에서 아래 경로의 키를 찾아 마우스 오른쪽 버튼을 눌러 삭제
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWinsock
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWinsock2


[Step2] TCP/IP 설치
시작 → 제어판 → 네트워크 및 인터넷 연결 → 네트워크 연결
→ 로컬영역 연결(마우스 오른쪽 버튼 클릭하여 속성 선택)
→ 설치 클릭 → 프로토콜 선택 후 추가 → 디스크 있음
→ c:Windowsinf 를 입력한 다음 확인 을 클릭

[Step3] 인터넷 프로토콜(TCP/IP) 선택 후 확인 클릭

[Step4] 재 부팅

▶ 윈도우 2000 일 경우의 Winsock 복구방법

[Step1] 인터넷 프로토콜(TCP/IP) 제거
시작 → 설정 → 제어판 → 네트워크 및 전화접속 → 로컬영역 연결(마우스 오른쪽
버튼 클릭하여 등록정보 선택) → 인터넷프로토콜 (TCP/IP) 선택한 후
제거 메뉴 클릭

[Step2] 재 부팅

[Step3] 인터넷 프로토콜(TCP/IP) 재 설치
시작 → 설정 → 제어판 → 네트워크 및 전화접속 → 로컬영역 연결(마우스 오른쪽
버튼 클릭하여 등록정보 선택) → 설치 클릭 → 프로토콜 선택 후 추가
→ 인터넷 프로토콜(TCP/IP) 선택 후 확인

④ 악성코드 okviewer4.dll 삭제
[Step1] 악성코드 okviewer.dll 삭제
윈도우 시스템 폴더(Windows NT/2000의 경우 c:winntsystem32,
Windows XP의 경우 c:windowssystem32)에 생성된 okviewer4.dll를 삭제

[Step2] 재 부팅