[서울신문NTN 김수연 기자] 안철수연구소는 최근 온라인 게임 계정을 탈취하는 악성코드가 일부 웹사이트를 통해 확산되고 있다고 7일 밝혔다.
연구소 측이 경고한 악성코드는 ARP 스푸핑(ARP Spoofing)을 통해 감염된 컴퓨터와 동일 네트워크에 있는 다른 PC에 전염되므로 개인은 물론 기업에서도 각별한 주의가 요구된다.
사용자가 보안에 취약한 웹사이트에 접속하면 악성코드인 yahoo.js 파일이 실행되고 이어 다른 악성코드가 다운로드·실행된다. yahoo.js 파일의 코드를 풀면 ad.htm, news.html, count.html 파일로 다시 접근한다.
ad.htm 파일은 MS 인터넷 익스플로러의 MS10-018 취약점을, news.html 파일은 MS10-002 취약점을 이용해 s.exe 파일을 다운로드 및 실행한다 게 연구소 측의 설명이다.
또 연구소 측은 s.exe 파일은 C:WindowsSystem32 폴더에 xcvaver0.dll 파일을 생성하는데 이 파일이 던전 앤 파이터, 아이온, 메이플 스토리 등의 온라인 게임 계정을 유출하는 기능을 한다고 덧붙였다.
특히 해당 악성코드는 같은 네트워크에 있는 컴퓨터에서 웹 서핑을 할 경우 yahoo1.js (yahoo.js와 동일) 파일로 접근하게 해 사내 컴퓨터 중 한 대라도 감염돼 있으면 다시 전파될 위험이 있다.
안철수연구소는 사이트가드(기업은 사이트가드 프로)를 설치, 위험한 웹사이트 접속을 차단해 악성코드로 인한 피해를 예방할 것을 당부했다. 또 개인 및 사내 모든 컴퓨터를 V3 최신 버전으로 업데이트하고 윈도우 보안 패치를 하라고 조언했다.
V3 제품군과 온라인 통합보안 서비스인 ‘안랩 온라인 시큐리티(AOS)’, 유해 사이트 차단 서비스인 ‘사이트가드’ 등은 JS/Exploit, JS/Psyme, Dropper/Malware.42496.GF, Win-Trojan/Downloader.4608.AOS 등으로 진단한다.
한편 안철수연구소는 홈페이지를 통해 ARP 스푸핑의 진원지 컴퓨터를 손쉽게 탐지·차단할 수 있는 전용 백신을 별도로 제공하고 있다.
전성학 안철수연구소 시큐리티대응센터장은 “개인은 물론 기업에도 피해를 주는 악성코드이므로 개인과 웹사이트 관리자, 기업 네트워크 관리자 모두 각별히 주의해야 한다.”고 말했다.
김수연 기자 newsyouth@seoulntn.com