Dadong' Script 혹은 GongDa Exploit Pack(공다팩)이라고 IE, Java, Flash Player 등의 취약점을 이용하는.. 난독화하기 좀 껄끄럽다고 알려진 악성코드가 일부 보안이 취약한 웹 사이트에 삽입이 되어 금융 정보를 타켓으로 하는 파밍 악성코드가 유포되고 있습니다.



파밍 악성코드 원본 숙주명 : ko.exe(Virustotal : 31 / 51)

MD5 6351afd8fb7e79b4cf7c865841a10102



국내 백신사 악성코드 진단 명 : 바이러스 토털 결과로 미루어 현재 안랩(Ahnlab)와 nProtect에서는 진단하지 않는 것으로 보입니다.


BitDefender : Gen:Trojan.Heur.GM.01424160BA

Virobot : Trojan.Win32.S.Agent.21934



악성코드가 취약점에 의해 컴퓨터 내에 감염 활동이 시작되면 아래의 경로에 파일 및 레지스트리를 생성하며 추가적으로 일부 파일 및 레지스트리를 변경 및 변조합니다. 



>> 파일, 레지스트리 생성 정보


C:\koreaautoup.bmp

C:\Program Files\Common Files\ko (2).exe / 이름은 악성코드마다 다름.

C:\Windows\System32\Drivers\etc\hosts.ics


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"koreaautoup"="C:\\Program Files\\Common Files\\ko (2).exe" 



>> 파일 및 레지스트리 변경 및 변조 정보


C:\Windows\System32\Drivers\etc\hosts 변조


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"에서 "http://www.naver.com" 으로 변경





>> ko (2).exe 파일의 기능


1) 시작 프로그램에 koreaautoup 내지 Microsoft(r) Windows(R) Operating System이라는 이름으로 등록이 되어 윈도우 재부팅시 자동으로 실행이 되도록 되어 있습니다.



koreaautoup = C:\Program Files\Common Files\ko (2).exe



2) 프로세스 상에서 자신의 프로세스를 기반으로 인터넷 익스플로러(iexplore.exe)를 종속하여 http://ssapong.mireene.kr과 지속적으로 서버 연결이 되도록 이루어져 있습니다. 참고로 http://ssapong.mirrene.kr는 감염 카운트과 연관되어 있는 웹 페이지로 연결이 되는 것으로 보입니다. 더불어 악성코드 파일 생성 시점에 현재 감염된 컴퓨터의 화면보호기 정보 등을 전송하는 기능을 수행합니다.







3) 1초 간격으로, 그리고 지속적으로 C:\koreaautoup.bmp 파일을 덮어쓰기합니다. koreaautoup.bmp 파일 내부에는 현재 실행중인 파밍 악성코드 파일명인 ko (2).exe가 있습니다.







4) 일정 주기 간 hosts.ics와 hosts 내부의 파일을 변경하는 기능을 수행합니다. 이는 서버가 막혔을 때를 대비한 것으로 보입니다.


>> hosts와 hosts.ics 파일의 기능 : 특정 웹 사이트를 지정된 IP로 연결해주는 파일이며 이번에 발견된 악성코드의 경우 사용자 눈속임과 더불어 백신 진단을 우회하려는 목적으로 파일 내부에 공백을 둠으로 용량을 뻥튀기하였으며, 호스트 변조 내용은 아래와 같습니다.



더불어 호스트의 기능에 대해 자세한 내용은 아래의 글을 참조해주시기 바랍니다.


참조 : [Windows] 호스트 파일(hosts 파일)의 기능과 쓰임새






그리고 앞서 파밍 악성코드가 시작 페이지를 의도적으로 '네이버'로 변경합니다. 왜냐하면 현재 대한민국의 포털 점유율이 가장 높은 곳이자 많이 있는 곳이 네이버이라는 이유로 보입니다 ㅡㅡ;; 아무튼 감염된 직후 시작페이지가 네이버로 변경이 된채 인터넷 익스플로러를 실행하면 다소 이상한 점을 많이 발견할 수 있습니다. '중국내 유일한 전국 매체', '중국 배너광고', '2014년 1월', '어색한 사진', '지나간 핫이슈' 등등 웃긴 것들이 많이 나옵니다. ㅇㅅㅇ 이상한 점 한 번 찾아봐주시기 바랍니다.^^






여기에서 낚여서 '금융감독원 보안관련 인증절차를 진행하고 있습니다' 팝업 메시지 중 금융권 사이트를 클릭하게 되면 아래와 같은 사이트, 본 필자는 농협을 주로 이용하기에 농협을 눌렀는데 danking.nonghuyp.com이라는 사이트가 나왔습니다. 당킹?



dank(당크) n. 은행 

      vi, vt. (금융 정보가) 털리다.





여기에서 아무 거나 누르면 '인터넷 뱅킹 예방서비스 2013.9.26(목) 이후 모든 서비스가 한층 더 업그레이드 되었습니다. 이 모든 서비스를 이용하시려면 뱅킹서비스 고객 본인(재)인증후 이용이 가능합니다'라는 웹 페이지 메시지가 뜨나 띄워쓰기라든가 말투가 다소 어눌하다는 점을 볼 수 있습니다.





이 다음에는 이름(실명)과 주민등록번호를 입력하라고 하나 아쉽게도 주민등록번호는 식별하는 기능은 존재하나 이름과 주민등록번호가 맞는지에 대한 여부는 페이지 상에서 지원을 하지 않습니다. ㅋㅋㅋ







대충 아무거나 입력해서 확인을 누르면 '인증절차 신청이 접수되었습니다'라고 뜹니다. 중국 욕 적어두고 보냈는데 들어가겠죠 ㅋㅋㅋㅋㅋ




27.114.107.92로 이름, 주민등록번호, 은행이름, 휴대폰 번호, 계좌번호, 계좌비밀번호, 인터넷 뱅킹 ID, 이체비밀번호, 인증서비밀번호, 보안카드일련번호 8자리, 보안정보입력(보안카드 숫자) 모두 가짜로 보냈습니다 ㅋㅋㅋㅋㅋㅋ 왜 안되지 그러겠죠 ㅋㅋㅋㅋㅋ






이 것도 어디 그림판으로 작업해서 컨트롤 씨 컨트롤 브이 밖에 안한 작업이며, 띄워쓰기 및 한국어가 많이 어눌합니다. 조선족이 했나....




>> 금융 정보를 탈취하는 파밍 악성코드 치료 방법


1. V3 Lite, 알약 등의 알려진 백신으로 정밀검사/치료를 실시해주시기 바랍니다.


2. 만일 백신으로 진단/치료가 되지 않을 경우 아래의 방법을 통하여 수동으로 파밍 악성코드를 치료해주시기 바랍니다.


2-1) 현재 사용중인 컴퓨터를 종료해주시고 안전모드로 부팅해주시기 바랍니다. 참고로 안전모드 부팅은 F8번을 누르면 됩니다. 일부 제조사에 따라 F8번을 좀 늦게 눌러야 할 때가 있습니다. 


2-2) 안전모드 진입하셨으면 아래의 경로에 있는 파일 및 레지스트리를 삭제해주시기 바랍니다.


C:\koreaautoup.bmp

C:\Program Files\Common Files\ko (2).exe

C:\Windows\System32\Drivers\etc\hosts.ics


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"koreaautoup"="C:\\Program Files\\Common Files\\ko (2).exe" 



2-3) C:\Windows\System32\Drivers\Etc\hosts 호스트 파일을 열어서 127.0.0.1 localhost 아래의 공백을 포함한 모든 값들을 키보드 Delete를 눌러 지운 다음 저장해주시기 바랍니다. hosts가 정상적으로 열리나 파일 삭제 후 저장할 때 관리자 권한이 필요하다고 하면 시작 - 프로그램 - 보조프로그램 - 메모장을 마우스 우측 클릭하여 관리자 권한으로 실행 모드로 들어가주시기 바랍니다.


2-4. 그 다음 재부팅 후 파밍 증상이 나타나는지 확인하여 주시기 바랍니다.



※ 파밍 악성코드 예방 방법 


1. 윈도우 보안 업데이트는 항상 주기적으로 모두 최신으로 유지해주시기 바랍니다.

2. Adobe Flash Player, Java 업데이트는 항상 최신으로 유지해주시기 바랍니다.

3. 백신 자동 업데이트 설정 및 최신 버젼 유지는 항상 습관으로 유지해주시기 바랍니다.

4. 다소 신뢰하기가 어려운 이상한 사이트에 접근하지 말기 바랍니다.





P.S) 

1. 일부 파밍 악성코드 감염 유형에 따라 대처하는 방법이 달라집니다. 이 포스트는 특정 유형에 한하여 작성을 했는 점 오해 없기 바랍니다.

2. 일부 네이버 블로그를 보니까 파밍캅으로 파밍 확인하는 분들 많은데 금융감독원 팝업창이라든가 네이버, 다음 등의 특정 사이트만 들어가지지 않는 증상만으로 이미 확인이 가능하기 때문에 이는 시간낭비이며, 파밍캅 자체에 내재된 문제점(98%에서 멈추는, 진단 방법 문제)이 있음에도 불구하고 왜 장점만 골라서 언급하는지 잘 모르겠습니다.

3, C:\Program Files\Common Files\ 내에 있는 파일명의 경우 이름이 유포될 때마다 변경되기 때문에 크게 신경 안쓰셔도 됩니다.

Posted by Ec0nomist

댓글을 달아 주세요