[바이러스] ARP spoofing

.

다수의 컴퓨터에서 인터넷 홈페이지를 연결시 이상한 문자가 뜨고 화면이 깨진다는 신고가 들어왔습니다.
웹페이지자체는 이상이 없는데 다수의 특정PC에서만 문제가 발생하고 있었습니다.
문제되는 pc에서 깨지는 웹페이지의 소스보이를 하면 특정 문자열이 들어가있는것이 보였구요
사용자 삽입 이미지
웹페이지로 전송되는 아이디/패스워드를 훔쳐내기위한 ARP spoofing형태의 malware로 추측되었습니다.
문제해결을 위해 다음과 같이 시행하였습니다.

1. 웹페이지가 정상적으로 보이지않는 클라이언트 ip확인
2. S/W에서 비정상 작동 클라이언트 ip의 mac 확인
   sh arp | inc ip_address
3. S/W에서 해당하는 mac 현황을 파악 (누가 또 같은 mac를 가지고있나?)
   sh arp | inc mac_address
4. 다수의 pc가 같은 mac을 가지고있는것으로 보였습니다.
5. 진짜 mac을 가진 pc를 찾기 시작했습니다.
6. DHCP서버에 접속해서 최초 mac을 받아간 pc를 찾았습니다.
7. 오염된 pc로 보이는 이 PC의 랜선을 뽑았습니다.
8. S/W에서 오염된 mac을 clear시킵니다.
   clear arp
9. 문제의 mac이 아직도 존재하는지 확인합니다.
    sh arp | inc mac_address
   아래 화면에서 보시듯 더이상 문제의 mac이 올라오지않습니다.
10. 이제 문제의 오염pc를 로컬로 접속해서  문제를 해결합니다.(malware제거)

이외의 방법으로는…  
(S/W에서 지원한다면) 해당mac을 거부하게 하고  clear arp 해도 될것 같습니다.

사용자 삽입 이미지

4 thoughts on “[바이러스] ARP spoofing

    • 이 현상은 arp spoofing하는 바이러스가 원인입니다.
      모든 PC의 백신을 최신버전으로 올리면 고쳐질것입니다.
      트렌드,시만텍,하우리등 유명백신들이 모두 잡더 군요..

      원래의 MAC을 찾는것은 일일이 커맨드를 열어봐야알수있습니다.
      커맨드창에서 ipconfig /all해보시면 mac을 볼수있습니다.
      평소에 고정아이피와 함께 mac을 같이 관리하셨다면 바로 알수있죠
      아니라면 열심히 찾아야죠.. ipconfig /all

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.