주말마다 보안이 취약한 웹 사이트을 타켓으로 인터넷 뱅킹 정보를 탈취하려는 파밍 악성코드가 삽입이 되어 기승을 부리고 있습니다, 대체로 웹 사이트 내의 코드를 보면 Java, Adobe Flash Player, IE의 취약점을 대다수 이용하는 다동 스크립트(Dadong's Script) 내지 공다팩(Gongda Exploit Pack)이 주를 이루며, 이러한 취약점 공격에 의해 현재 사용하고 있는 컴퓨터 내지 PC가 파밍 악성코드에 감염이 되는 분들도 많은 걸로 알고 있습니다. 더불어 최근에 발견되는 파밍 악성코드의 경우 물론 호스트 변조 기능도 하지만 자연스럽게 네이버를 시작 페이지로 변경하는 방법을 통해 더더욱 기승을 부리고 있습니다. 그래서 본 포스트에서는 네이버 금융감독원 팝업창 삭제 및 제거 정보에 대해 언급을 하고자 합니다.



참고로 본 포스트는 이전에 쓴 '개인 인터넷뱅킹 정보를 탈취하는 파밍 악성코드 치료 방법' 포스트의 연장선이라고 볼 수 있음을 밝힙니다. 은행 사이트에서 제공하는 인터넷 뱅킹, 즉 파밍 악성코드가 어떻게 진행이 되며 최종적으로 어떤 정보가 유출되는지에 관해서는 아래의 포스트를 참조해주시기 바랍니다.


참조 :  개인 인터넷뱅킹 정보를 탈취하는 파밍 악성코드 치료 방법


본 포스트는 기본적인 분석 도구 Process Explorer, Process Monitor, Fiddler Web Debugger를 이용하여 진행을 하겠습니다.  여기서 올리 디버그라든가 IDA Pro는 아직 익숙하지 않아서 생략하겠습니다. ㅇㅅㅇ;;




아무튼 악성코드가 컴퓨터 내에 있는 취약점에 의해 생성 및 실행이 이루어지면 프로세스 상에서 iexplore.exe를 자신의 종속 프로세스로 두어 카운터 값을 전송하며, 뭐... 인터넷 연결 상태, PC의 상태에 따라 바뀌겠지만 지속적으로 특정 서버와 6~7분 간격으로 연결을 시도해 hosts, hosts.ics를 생성 및 변조하는 기능을 수행합니다. 따라 네이버 금융감독원 팝업창, 파밍 악성코드에 감염이 되었다고 무작정 호스트와 hosts.ics만 삭제하라니 보호나라에서 hosts 다운받아서 hosts 초기화하는 방법만 권유하는 건 잘못됬다고 볼 수 있습니다. 즉 해처리를 파괴하지 않고 그냥 라바만 죽이는 격입니다.





감염된 직후 익스플로러를 실행하면 '네이버'로 연결되는 걸 확인할 수 있으며, '금융감독원 보안관련 인증절차를 진행하고 있습니다'라는 팝업창이 뜹니다. 이 시점에서 진행하면 아니되며, 곧바로 파밍 악성코드라는 걸 눈치채고 삭제할 준비를 해야 합니다.



참고로 현재 금융감독원 팝업창 나오는 시점에서 네이버의 HTML 소스를 보면 그냥 그림으로 짜집기했다는 걸 눈치챌 수 있습니다.





>> 네이버 금융감독원 팝업창을 생성하는 파밍 악성코드 유형별 삭제 및 제거 방법

(차후에 자료가 모아지면 더 자세히 언급하겠습니다.)



공통) 

1) 우선적으로 쉬운 방법으로 V3 Lite, 알약 등의 알려진 백신으로 안전모드 상에서 정밀검사/치료를 실시해주시기 바랍니다. 참고로 백신으로 정밀검사/치료로 처리가 안될 경우 아래의 방법으로 진행해주시기 바랍니다. 아래의 사이트에서 무료백신 중 마음에 드는 걸 선택하면 됩니다.^^


참조 : 10종 무료백신 간단 평가 및 다운로드(알약, V3 Lite, 네이버 백신, Avast, Antivir 등)


2) 아래의 수동 조치 방법로 넘어갈 경우 모두 안전모드에서 해주시기 바랍니다.




1. Csrss.exe + mydll.dll 등의 Dll 모듈 조합의 파밍 악성코드일 경우 아래의 방법을 통하여 삭제해주시기 바랍니다.


참조 :  '금융감독원 보안관련 인증절차를 진행하고 있습니다.' - 파밍 악성코드 주의



2. 3번 + 작업 스케줄러 등록의 조합으로 되어 있을 경우 아래의 방법을 비롯한 3번과 동행하여 삭제해주시기 바랍니다.(이건 샘플로만 가지고 있으며, 컴퓨터 알바뛸 때 직접 치료를 했는 경험을 토대로 적습니다.)



C:\Windows\Tasks\At1~24.job

C:\Windows\91019387\svchsot.exe


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 혹은

HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에서 위의 svchost.exe로 된 걸 삭제.



3. 현재 흔하게 유포되는 파밍 악성코드의 유형이며, 아래의 과정을 거쳐 파밍 악성코드를 치료해주시기 바랍니다.


3-1) 현재 사용중인 컴퓨터를 종료해주시고 안전모드로 부팅해주시기 바랍니다. 참고로 안전모드 부팅은 F8번을 누르면 됩니다. 일부 제조사에 따라 F8번을 좀 늦게 눌러야 할 때가 있습니다. 


3-2) 안전모드 진입하셨으면 아래의 경로에 있는 파일 및 레지스트리를 삭제해주시기 바랍니다.


C:\koreaautoup.bmp

C:\Program Files\Common Files\(Random Name).exe

C:\Windows\System32\Drivers\etc\hosts.ics


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"koreaautoup"="C:\\Program Files\\Common Files\\(Random Name).exe" 



3-3) C:\Windows\System32\Drivers\Etc\hosts 호스트 파일을 열어서 127.0.0.1 localhost 아래의 공백을 포함한 모든 값들을 키보드 Delete를 눌러 지운 다음 저장해주시기 바랍니다. hosts가 정상적으로 열리나 파일 삭제 후 저장할 때 관리자 권한이 필요하다고 하면 시작 - 프로그램 - 보조프로그램 - 메모장을 마우스 우측 클릭하여 관리자 권한으로 실행 모드로 들어간 후 작업을 해주시기 바랍니다.




이상으로 네이버 금융감독원 팝업창 삭제 및 제거 정보를 마치겠습니다. 기술적 부분을 제외한 궁금한 점 있으면 덧글이나 방명록을 이용하여 남겨주시기 바랍니다. 차후에 추가 포스팅할 시 반영하겠습니다.


Posted by Ec0nomist

댓글을 달아 주세요

  1. 회사 컴이 오늘 오후 단체로 감염이 되었네요. 10대가 넘는 컴이 동시에 감염 되었어요. 최근 새로 산 컴 두대만 빼고요...바이러스가 감염된지 모르고 카드결재도 하고 인증서 사용해서 수업듣고 했는데. 괜찮을까요?ㅠ.ㅠ

    2014.05.28 00:40 [ ADDR : EDIT/ DEL : REPLY ]
    • 최근 파밍 악성코드를 보면 공인인증서를 유출하는 기능이 존재하기에 공인인증서 폐기 및 재갱신은 필수적으로 해주시기 바랍니다.

      더불어 개인 온라인뱅킹에 있어 비밀번호 변경도 추가적으로 해주시기 바랍니다.(미연의 방지)

      2014.05.28 00:43 신고 [ ADDR : EDIT/ DEL ]
  2. 정말 어렵게 적으셨네요 ㅜㅜ

    2014.06.27 13:51 [ ADDR : EDIT/ DEL : REPLY ]
  3. 정말 어렵게 적으셨네요 ㅜㅜ

    2014.06.27 13:51 [ ADDR : EDIT/ DEL : REPLY ]
  4. 일반인들이 알아들을수 있게쓰겨야죠;;
    저걸 다알아듣는 사람이면 애초에 이런글을 보겠습니까??

    2014.11.05 17:49 [ ADDR : EDIT/ DEL : REPLY ]
  5. Jey

    저거 낚시 맞죠? 어쩐지 수상하더니 네이버가 한동안 계속연결안되다 되더니 저런거 뜨네요

    2014.12.01 18:39 [ ADDR : EDIT/ DEL : REPLY ]
  6. ㅋㅋㅋ이게어려우시면 그냥 컴기사부르세요
    설명 간력하게 다 나와있구만뭔소리들이여

    2014.12.02 21:04 [ ADDR : EDIT/ DEL : REPLY ]
  7. 신랑이 모르고 계좌번호랑 비번 보안카드 일렬번호 적었는데 괜찮을까요 보안카드 일렬번호 다 적으라되이쓴건 수상해서 제가 적지마라 했는데

    2015.03.01 18:41 [ ADDR : EDIT/ DEL : REPLY ]
  8. 비밀댓글입니다

    2015.03.01 18:41 [ ADDR : EDIT/ DEL : REPLY ]