해당 악성코드의 경우 어쩌다 운 좋게 수집한 악성코드인지라 현재 나온 악성코드가 아닌 오래 전에 나온 악성코드입니다. 그냥 파밍에 대한 인식을 심어주고자 본 블로그에 포스팅하는거라 그냥 보시면 됩니다. 진짜 허접하게 만든거라 차마 얼굴을 못 들겠지만 그냥 첫 작품이니 허접하다고 생각하고 봐주셨으면 합니다. 그래도 있을 건 다 있습니다만 세세히 분석하지 못한 점 양해바랍니다.




파밍이란 사이버경찰청 정의를 인용하자면 '악성코드에 감염된 PC를 조작해 이용자가 인터넷 '즐겨찾기' 또는 포털사이트 검색을 통하여 금융회사 등의 정상적인 홈페이지 주소로 접속하여도 피싱(가짜)사이트로 유도되어 범죄자가 개인 금융 정보 등을 몰래 빼가는 수법'을 의미합니다. 쉽게 말하자면 금융 계정 탈취를 목적으로 만들어진 악성코드의 한 형태이며, 감염 사실을 모르고 금융권 거래 등을 이용할 경우 변조되거나 혹은 악의적으로 생성된 호스트로 인하여 파밍 사이트로 강제로 유도되어서 공인인증서 암호라든가 보안카드 암호 등의 개인 금융 정보가 공격자의 손아귀에 넘어가는 악성코드입니다.




1. 파밍 악성코드 감염 이유 : 제휴 프로그램이 동반되어 설치되는 다운로더의 서버에 악성코드 삽입 혹은 IE, Adobe Flash Player, Java 등의 취약점을 이용한 악성코드가 삽입되어져 있는 사이트 방문으로 인한 감염으로 크게 2가지로 나뉘어집니다.




2. 감염 파일 경로


해당 파일이 실행하게 되면 다음과 같은 경로에 악성코드가 생성 및 변조가 됩니다.


C:\Program Files\Common Files\wqNEK4op.exe 생성(바이러스 토털 진단 결과 : 30/49) 링크


Ahnlab V3 : Trojan/Win32.Generic

BitDefender : Gen:Trojan.Heur.bi0fzC7ZRKeb 




C:\Windows\System32\Drivers\etc\hosts  파일 변조

// 특정 경우에는 정상 사이트를 강제적으로 파밍 사이트로 우회시켜버립니다.


C:\Windows\System32\Drivers\etc\hosts.ics 생성(정상 사이트를 강제적으로 파밍 사이트로 우회)




%Temp%\(랜덤 소문자 5자리).exe



C:\Koreaautoup.bmp(?)



3. 감염 파일 분석

    1) wqNEK4op.exe



(1) 해당 파일의 경우 시작 프로그램에 등록하는 등 지속적으로 시스템 백그라운드 내에서 사용자를 감시하는 역할을 합니다. 그 외에 hosts.ics가 삭제되지 않도록 막아줍니다.





(2) Iexplore.exe(인터넷 익스플로러)를 이용하여 특정 웹 사이트에 지속적으로 연결



(3) 특정 IP와 계속 연결하는 것으로 파밍 사이트 우회주소를 계속 변경하는 것으로 보임. 최초 악성코드 샘플하고 알바 끝나고 나서 VMWare에서 수집한 IP주소가 다르더군요. 더불어 실험 하면서도 계속 바뀌고요...



    2) hosts.ics


안철수연구소 자료를 인용하자면 hosts.ics는 원래는 잘 쓰이지 않는 파일이라든데 이게 일반적으로 윈도우에서 쓰는 hosts 파일보다 더 우선권이 있다보니 hosts.ics를 활용하여 강제로 파밍사이트로 유도합니다.



파밍 사이트 대상은 다음과 같습니다 : 신한은행, 기업은행, 하나은행, 국민은행, 우체국, 농협, 새마을금고, 외환은행, 한국스탠다드차타드은행, 네이버, 다음


사이트 이용이 불가능하고, 파밍 사이트로 유도합니다. 그 외의 나머지 사이트는 이용이 가능합니다. 


    3) hosts


원래 해당 파일의 경우 변조가 안되었는데 갑자기 변조가 되었네요 ㅡㅡ;; 만일 hosts가 hosts.ics처럼 용량이 늘어나거나 혹은 내부에 파밍 값이 들어있다면 앞서 말한 hosts.ics처럼 정상 금융사이트를 지정한 파밍사이트로 강제로 유도합니다.


    4) (랜덤명 영어 소문자 5자리).exe : 분석을 거부합니다. 죄송합니다.




4. 감염 증세


1) 네이버, 다음이 host파밍 사이트 우회로 인한 사용 불가능. '금융감독원 보안관련 인증절차'라는 사기성 팝업이 뜸.



2) hosts.ics 및 hosts에 등록된 금융 사이트가 파밍사이트로 유도됨.

   (현재 막혀있지만 네이버에서 금융 사이트 접속시 파밍 사이트로 들어가짐.)



3) 개인 금융 정보 입력시 개인 금융 정보 유출







짜증나서 욕 적어서 블라인드 처리. 다른 파밍 악성코드 스샷을 보니까 다이렉트로 보안카드,인증서 암호 입력하는게나오는데 저는 여기서 막혔네요. 그래서 패킷 분석은 물 건너 갔습니다. 이름(실명), 주민등록번호는 적지 맙시다!!!!


4) 특정 IP와의 지속적인 연결로 2차 감염도 충분히 가능성이 높음.(실험에서는 그런 현상이 나타나지 않았습니다.)


※ 위 두 개의 파일은 같은 파일이며 그냥 같은 환경에서 악성코드를 2개 실행시켜 나온 산물들입니다. 오해하지 마시기 바랍니다.



5. 악성코드 치료법


(1) 해당 악성코드는 현재 국내에 나와있는 전용백신은 없으며, 기껏해야 hosts 파일 변조 대처 밖에 없으니까 그냥 백신으로 정밀검사/치료 실시하시면 됩니다. 더불어 운이 좋은건 본 블로그에 포스팅한 악성코드의 경우 백신 무력화 기능이 없어서 백신으로 진단/치료가 원활히 가능합니다.


>> V3 Lite 3.0 진단/치료


체크한 외의 나머지는 다른 종류의 샘플이기에 신경 안쓰셔도 됩니다.^^




(2) 수동으로 삭제하시려면 다음과 같은 방법을 이용하세요.



1) 윈도우 재부팅하면서 윈도우 로고 뜨기 전 F8을 눌러 안전모드 접근

    // 클라우딩 진단을 요하는 백신은 안전모드(네트워킹 이용) 모드로 들어가주시기 바랍니다. 하지만 가급적 안전모드로 들어가는 걸 추천드리는 바입니다.^^




2) 파일, 레지스트리 삭제 및 변경해주시기 바랍니다. 안전모드에서는 윈도우 돌아가는데 필요한 파일만 쓰기 때문에 왠만하면 악성코드까지 실행이 되지 않습니다.



1. C:\Program Files\Common Files\wqNEK4op.exe(파일명은 랜덤이기에 확실하지 않음.) 제거


2. %TEMP% 내의 파일 다 제거


3. C:\Windows\System32\Drivers\Etc\hosts.ics 제거

(해당 악성코드의 경우 wqNEK4op.exe가 계속 사용하기 때문에 삭제가 불가능하고 프로세스 내에 wqNEK4op.exe가 있는지 확인해주시기 바랍니다. 다른 이름의 악성코드도 포함입니다.)


4. 같은 경로의 hosts 파일은 보호나라 글을 보고 따라해주시기 바랍니다.(링크)

※ 특정 환경에서는 hosts.ics만 제거하면 hosts도 기본값으로 돌아오네요.


5. 다음의 레지스트리 경로에서 찾아들어가서 해당 악성코드를 삭제합니다.


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


이번 악성코드의 경우 koreaonce로 등록되어 있고 데이터로는 경로인 C:\Program Files\Common Files\(악성코드).exe로 등록되어져 있습니다. 키보드의 Del 키를 눌러서 삭제해주시면 됩니다.



6. 기타.... 후기


해당 악성코드에 감염되었는 분들은 2차 피해 예방을 위해 즉각 공인인증서 암호, 농협 계좌 비밀번호를 바꾸어주시고, 아래의 방법을 통하여 파밍 악성코드 예방해주시기 바랍니다^^


1) 윈도우 업데이트 최신화 유지 

2) 백신 실시간 감시 및 업데이트 최신화

3) P2P에서 불분명한 파일은 다운받지 않기

4) 악성코드가 유포되어 있는 사이트 접근 자제

5) 이상한 메일 열람 금지



## 2014.01.19 추가


1. 만일 hosts가 치료가 되지 않으면 이는 원본 숙주파일이 프로세스 내에 계속 상주하여 치료를 방해는 것으로 보이므로 가급적 안전모드에서 진단/치료 시도해주시기 바랍니다.


2. 해당 악성코드의 경우 과거의 악성코드를 토대로 분석한 것입니다만 최근에도 기본적인 경향은 같은 것으로 보입니다.


C:\Program Files\Common Files\(랜덤명).exe

C:\Windows\System32\Drivers\Etc\hosts.ics

C:\koreaonce.bmp


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]에 있는 koreaonce


위의 프로그램들을 확인 및 삭제해주시기 바랍니다.


3. V3 외 알약의 경우 환경 설정내 호스트 방지 기능으로 다소 예방할 수 있으나 hosts.ics 악성코드의 경우 호스트 변경 탐지가 우회되기에 진단이 안되는 경우가 있습니다. 안심하지 말고 정밀검사/치료해주시기 바랍니다.



## 2014.01.23 추가


1. 해당 글의 경우 XP 기준으로 작성하였으나 진단/치료방법은 Windows 7에도 적용이 되기 때문에 큰 문제는 없습니다.


2. 메모리 해킹과 파밍은 '개인 금융정보 탈취'라는 부분에서는 목적이 같으나 이제 어떻게 탈취하느냐에 대한 방법에서는 다릅니다. 메모리 해킹은 Dll Injection을 통하여 특정 프로세스 내에 삽입되어 공인인증서, 보안카드 등의 금융정보 탈취를 하고, 파밍의 경우 호스트 변조 후 위변조된 사이트로 유도하여 개인의 금융정보를 탈취합니다.


3. 일부 글 내용을 덧붙여 보강하였습니다.



## 2014-01-26 


1. 파밍 악성코드 예방 방법에 대해 내용을 추가하였습니다.




추가적으로 궁금한 점 있으면 덧글로 남겨주시기 바랍니다.^^ 확인하여 내용이 부족하면 더 보강하겠습니다.

Posted by Ec0nomist

댓글을 달아 주세요

  1. 수많은 블로그들 중에 제일 정확한 방법입니다. 두번이나 이 블로그 덕에 고칠수 있었어요 감사합니다!

    2014.03.22 23:53 [ ADDR : EDIT/ DEL : REPLY ]
  2. 티모

    그런데 알려주신경로의 파밍악성코드를 지우려고 삭제를 눌렀더니
    관리자권한이 필요하다면서 삭제가 안되네요

    안전모드로 하면 삭제되는건가요?

    2014.04.27 06:01 [ ADDR : EDIT/ DEL : REPLY ]
    • 일반 표준모드에서 악성코드 삭제 시도할 경우 악성코드의 치료 행위 방해로 인하여 다소 제한이 되기에 되도록이면 안전모드에서 하라고 권유한 것입니다.^^

      그리고 http://intumyself.tistory.com/323 참조해서 삭제 진행 실시해주시기 바랍니다.

      2014.04.27 11:00 신고 [ ADDR : EDIT/ DEL ]
  3. 제가 이 빙법을 두번이나 따라했는데도 (물론 안전모드 상태로) 다시 재 부팅하면 생겨있네요 ㅠㅠ 근본적인 악성코드를 삭제해야 싶을듯 한데.. 어떻하죠??

    2014.04.28 00:18 [ ADDR : EDIT/ DEL : REPLY ]
    • 아 그리고 제가 host파일과 hosts.ics 파일이 같이 있는데 메모장으로 확인해보니 host 파일은 정상적인데 hosts.ics에는 악겅코드가 보여요 이럴경우 그냥 hosts.ics만 지우는게 맞는거겠죠??

      2014.04.28 00:21 [ ADDR : EDIT/ DEL ]
    • http://intumyself.tistory.com/323 참조해서 진행해보시기 바랍니다.^^

      2014.04.28 00:26 신고 [ ADDR : EDIT/ DEL ]
  4. 비밀댓글입니다

    2014.05.10 20:23 [ ADDR : EDIT/ DEL : REPLY ]
    • 아뇨 바토에서는 진단 결과만 확인할 수 있습니다. 그리고 본 블로그에사는 악성코드 샘플을 신뢰하기 어려운 개인에게 제공하지 않습니다. 이 점 양해바랍니다.

      2014.05.10 23:19 신고 [ ADDR : EDIT/ DEL ]
  5. 핸드폰에 인터넷을 키면 저렇게 금융감독원이라뜨고 그러는데 와이파이 연결하고 있는 집 컴퓨터는 멀쩡해요..어떻게 된 일일까요ㅠㅠㅠㅠ핸드폰에 문제가 있는건가..

    2014.07.05 15:18 [ ADDR : EDIT/ DEL : REPLY ]