1. 감염 개요 : 보안이 취약한 웹 사이트 등지에 CK Vip Exploit Pack가 삽입이 되어 IE, Java, Flash Player 취약점을 이용하여 PC 내 악성코드를 삽입을 하는 것으로 보이나 글을 쓰면서 갑자기 서버가 차단되어 버렸습니다..;;






2. 악성코드 원본 숙주 파일: kbs.exe(Virustotal Result : 19 / 51)

MD5 : 5d159c53da3f908eff3570864dd5aa57



3. 악성코드 진단 정보 : 현재 국내 백신에서는 유일하게 바이로봇에서만 진단을 하고 있습니다.


ViRobot : Trojan.Win32.S.Agent.111104.V



4. 악성코드 생성 정보


● Kbs.exe(최초 원본 숙주)

▶ C:\Windows\3057236E\svchsot.exe(스케줄러에 의하여 자동 생성 및 감염)

▶ 142.0.xxx.x0/kong.exe

▶ C:\Koreaautoup.bmp

▶ C:\Program Files\Common Files\kong.exe

▶ C:\Windows\System32\Drivers\Etc\Hosts.ics

 C:\Windows\System32\Drivers\Etc\Hosts (변조)

▶ C:\Windows\Tasks\At01~24.job



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


"3057236E"="C:\\Windows\\3057236E\\svchsot.exe"

"koreaautoup"="C:\\Program Files\\Common Files\\kong.exe"




5. 악성코드 파일 간단 정보


1) svchsot.exe - 1시간 간격으로 등록된 작업 스케줄러에 의하여 14.33.133.107과 지속적으로 연결을 하며, 서버가 살아 있을 경우 추가적으로 파밍 악성코드를 다운받는 기능을 수행합니다. 자체적으로 파밍 악성코드를 수행할 능력은 없습니다.










2) kong.exe - 아래의 스크린샷에서는 악성코드 분류 상 잠시 kong(추가).exe로 표기를 하였고 Iexplore.exe를 종속 모듈로 두어 107.183.80.154 서버와 지속적으로 연결을 하고 있다. 더불어 1초 간격으로 koreaautoup.bmp을 지속적으로 생성하며, hosts.ics을 일정 주기별로 새로 생성하는 기능을 수행합니다.





3) hosts, hosts.ics - 이전과 달리 크게 변동된 건 없으며 서버 호스트 IP만 변경이 되었습니다.


60.156.113.207 www.epostdank.go.kr

60.156.113.207 ib.scfirstbank.com

60.156.113.207 kBstar.coM

60.156.113.207 www.kBstar.coM

60.156.113.207 odank.kdstar.com

60.156.113.207 omoNey.kBstar.coM

60.156.113.207 oBaNk.kBstar.coM

60.156.113.207 oBaNk1.kBstar.coM

60.156.113.207 Naver.coM

60.156.113.207 NoNghyup.coM

60.156.113.207 www.NoNghyup.coM

60.156.113.207 kisa.NoNghypu.coM

60.156.113.207 iBz.NoNghyup.coM

60.156.113.207 www.Naver.coM

60.156.113.207 shiNhaN.coM

60.156.113.207 www.kBsthar.coM

60.156.113.207 www.Nenghuyp.coM

60.156.113.207 www.sirNhaN.coM

60.156.113.207 www.woribenk.coM

60.156.113.207 www.ibek.co.kR

60.156.113.207 www.opestbenk.go.kR

60.156.113.207 www.haNebenk.coM

60.156.113.207 www.kab.co.kR

60.156.113.207 www.sctandardcatade.com

60.156.113.207 www.kfCe.co.kR

60.156.113.207 www.shiNhaN.coM

60.156.113.207 BaNkiNg.shiNhaN.coM

60.156.113.207 BizBaNk.shiNhaN.coM

60.156.113.207 OpeN.shiNhaN.coM

60.156.113.207 daUm.NeT

60.156.113.207 iBk.co.kR

60.156.113.207 mydank.iBk.go.kR

60.156.113.207 myBaNk.iBk.co.kR

60.156.113.207 kiup.iBk.co.kR

60.156.113.207 OpeN.iBk.co.kR

60.156.113.207 www.daum.NeT

60.156.113.207 pib.wooribenk.com

60.156.113.207 www.wooriBaNk.coM

60.156.113.207 piB.wooriBaNk.coM

60.156.113.207 u.wooriBaNk.coM

60.156.113.207 haNmail.NeT

60.156.113.207 edank.keb.co.kr

60.156.113.207 www.keB.co.kR

60.156.113.207 eBaNk.keB.co.kR

60.156.113.207 oNliNe.keB.co.kR

60.156.113.207 OpeN.keB.co.kR

60.156.113.207 www.haNmail.Net

60.156.113.207 haNaBaNk.coM

60.156.113.207 www.haNaBaNk.coM

60.156.113.207 OpeN.haNadank.coM

60.156.113.207 www.haNacBs.coM

60.156.113.207 kisa.kfCc.co.kR

60.156.113.207 www.kfcc.co.kR

60.156.113.207 iBs.kfcc.co.kR

60.156.113.207 epostBaNk.go.kR

60.156.113.207 www.epostBaNk.go.kR



6. 악성코드의 최종적인 목적 : 네이버, 다음 등의 메인 화면을 변조하여 타켓이 되는 정상 금융 사이트가 아닌 가짜 금융 기관 사이트로 연결을 하여 사용자의 금융 정보를 탈취하는게 목적입니다!!!!!!


>> 변조된 Naver 메인 화면




>> 가짜 기업은행 사이트






>> 개인고객을 위한 아이디 로그인에서 정상적으로 입력을 하여도 틀렸다고 메시지를 남기고 2회 입력하면 다음으로 넘어갑니다. 다소 짱개의 심리적으로 추측이 됩니다만 전 안 속음.


>> 전자금융거래기본약관에서 이름(실명) 및 주민등록번호 입력 : 그냥 알고리즘에만 맞으면 됩니다. 




>> 사용자 추가본인확인 : 핸드폰 번호, 계좌번호, 계좌비밀번호, 이체비밀번호, 인증서 비밀번호, 텔래뱅킹 이체비밀번호, 보안카드 일련번호, 보안정보 입력(보안카드 숫자)를 요구합니다만 특별히 일치 여부 확인 절차는 없으며 그냥 입력만 하면 특정 웹 사이트로 전송을 합니다.


>> 정확한 본인인증 서비스 : 앞서 사용자 추가본인확인 과정에서 입력한 정보들이 초당 패킷 1개씩 같은 서버로 전송이 이루어집니다.





>> 텔레뱅킹과 인터넷배킹 이용고객 2차채널 본인인증확인 과정 : 은 Fake고 휴대폰 앱에서 다운을 받도록 하고 있으며 다운 받을시 머리아픈 일이 일어날겁니다.(앱 분석은 하지 못하기에 여기까지...)




참고로 앱을 다운받게 되면 http://2canerkt.com/에서 다운을 받게 되며, 사이트의 위치는 중국 중산입니다.





7. 호스트 파일을 변조하는 파밍 악성코드 치료 방법 


1) 1차적으로 현재 사용하고 있는 백신으로 정밀검사/치료를 선행해주시고, 만일 백신으로 해결을 보지 못한 경우 아래의 수동 조치 방법을 통하여 삭제해주시기 바랍니다.



2) 파밍 악성코드 수동 삭제 요령


(1) 안전모드 혹은 안전모드(네트워크 사용)으로 들어갑니다.


(2) 아래의 경로에 있는 파일 및 레지스트리를 삭제해주시기 바랍니다.


 C:\Windows\3057236E\svchsot.exe

 C:\Koreaautoup.bmp

 C:\Program Files\Common Files\kong.exe

 C:\Windows\System32\Drivers\Etc\Hosts.ics

 C:\Windows\Tasks\At01~24.job


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"3057236E"="C:\\Windows\\3057236E\\svchsot.exe"

"koreaautoup"="C:\\Program Files\\Common Files\\kong.exe"


(3) 시작 - 프로그램 - 보조 프로그램 - 메모장을 마우스 우측 버튼 눌러서 관리자 권한으로 실행을 하여 아래의 경로에 있는 파일을 실행합니다.

C:\Windows\System32\Drivers\Etc\Hosts



Ctrl + A을 눌러 전 영역 모두 Delete를 눌러 삭제를 한 뒤 저장을 합니다.





(4) 재부팅하여 같은 현상이 지속되는지 확인해주시기 바랍니다.



이상으로 호스트 파일 변조 바이러스, 파밍 악성코드 정보에 대한 글을 마치겠습니다.


참조 [파밍 치료] 네이버 금융감독원 팝업창 삭제 및 제거 정보

   금융감독원 팝업창을 생성하는 파밍 악성코드 목적과 제거 방법

   호스트 변조 바이러스, 파밍! 금융 감독원 팝업창 해결 방법

   '고객정보 유출확인' 국내 카드 회사를 타켓으로 하는 파밍 악성코드 주의

   개인 인터넷뱅킹 정보를 탈취하는 파밍 악성코드 치료 방법

   '금융감독원 보안관련 인증절차를 진행하고 있습니다.' - 파밍 악성코드 주의

  [파밍 악성코드] 본인인증확인 '2채널 인증서비스' 가짜 앱 설치 유도 주의

저작자 표시 비영리 변경 금지
신고
Posted by Ec0nomist