예. 몰랐는데 주말뿐만 아니라 평일에도 금융감독원 팝업창을 생성하는 파밍 악성코드가 여전히 유포가 되고 있습니다. 뭐.... 이번에 발견된 익스플로잇 팩은 난독화하기 더럽게 어려운 Gongda Exploit Pack(공다팩 내지 다동 스크립트)가 아닌 다른 익스플로잇 팩인, CK Vip Exploit Pack을 이용하는게 특징입니다.




.........(??) ▼




악성코드 파일 샘플명 : Kbs.exe(Virustotal Result : 26 / 51)

MD5 : 8e6fa461d83a5bca413aaf812f811104


악성코드 진단 정보 : 알약, V3 Lite를 비롯한 국내 대부분의 백신에서 진단을 할 수 있습니다.


AhnLab-V3  : Trojan/Win32.Agent

BitDefender : Gen:Variant.Graftor.135459

ViRobot : Trojan.Win32.S.Agent.356352.S



아무튼 악성코드가 PC 내에 존재하는 어플리케이션 취약점에 의하여 감염 활동이 이루어지면 아래의 경로에 파일 및 레지스트리를 생성 및 삭제합니다.


C:\3050125Ndabb3050125\csrss.exe → 실제로는 윈도우 Rundll32.exe 정상파일에서 이름만 바꾸었음.

C:\3050125Ndabb3050125\Mvcg.dll(악성코드 파일 스트링 내 %c%c%c%c로 되어 있는 바 랜덤명)

C:\3050125Ndabb3050125\start.ink

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\start.ink

C:\Windows\System32\Drivers\Etc\hosts.ics


C:\Windows\System32\Drivers\Etc\hosts(삭제)


HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

"run"="c:\\271425~1\\start.lnk" 





이번 악성코드에서는 이전에 발견된 Csrss.exe + mydll.dll 악성코드 패턴과 상당히 유사합니다.


참조 : '금융감독원 보안관련 인증절차를 진행하고 있습니다.' - 파밍 악성코드 주의


예 이전과 마찬가지로 시작 프로그램 항목에 start.ink을 삽입하는 방법과 로그인 관련 레지스트리에 start.ink을 삽입하는 방법을 통하여 2중적으로 파일이 실행이 되도록 되어 있습니다. 즉, 시작 프로그램 항목을 지웠다 하더라도 레지스트리에 생성된 start.ink 값을 삭제하지 않으면 무용지물입니다.





>> %c%c%c%c.dll의 파일 내부 : 무언가를 찾는 것 같습니다. 추정컨데 공인인증서로 보입니다 ㅇㅅㅇ






>> 호스트 변조로 인하여 변경되는 Warning 파밍 경고 사이트 : 참고로 이런 사이트는 없다.




>> 파밍 악성코드로 인하여 변조되어 나타나는 각종 포털 사이트 및 지마켓(GMarket) 사이트


1) 포털 사이트 네이트(nate.com)



2) 포털 사이트 다음(daum.net)



3) 포털 사이트 네이버(naver.com)



4) 인터넷 온라인 쇼핑몰 G마켓(gmarket.co.kr)





뭐 그 외 호스트 변조로 인하여 나타나는 가짜 사이트 메인 화면은 아래와 같습니다. 참고로 분량 상 일부 사이트만 언급하였으니 궁금하신 분 있으면 위의 참조글에서 확인해주시기 바랍니다.^^


>> 호스트 변조로 가짜 사이트로 유도되는 금융 사이트들


1) MG새마을금고




2) KB국민은행



3) 신한은행


4) NH 농협은행




>> 신한은행을 대상으로 파밍 악성코드 진행 및 최종 목적 확인


1) 1차적으로 개인고객을 위한 아이디 로그인에서 '아이디'와 '사용자암호'를 요구하는데 이 때 서버와 연결하여 아이디와 사용자 암호가 맞는지 일치하는 방식이 아니라 그냥 특정한 조건만 맞아 떨어지면 아이디와 사용자 암호를 정상으로 인식합니다.



2) 별 다른 ID, PW 인증 확인 기능이 없다. 참고로 이 단계에서 해당 금융 사이트의 ID와 PW를 전송합니다. 근데 지능적인 점이 앞에 BnkgLginID의 경우 정상적으로 로그인된 ID를 의미하고 뒤에 oneuname는 틀린 ID인데 정상 ID와 틀린 ID 둘 다를 보낸다는 점이 다소 소름 끼칩니다.~~





3) 그 다음에는 이름(실명)과 주민등록번호를 요구하는 페이지가 나타나는데 이 과정도 역시 이름(실명)과 주민등록번호가 서로 일치하는지에 대한 기능은 없으며, 그저 이름(실명), 주민등록번호가 수학적인 조건에만 부합되면 정상으로 판단하여 다음 페이지로 넘겨버립니다.





4) 텔레뱅킹 지정번호, 계좌번호, 계좌비밀번호, 이체비밀번호, 텔레뱅킹 이체비밀번호, 보안정보입력(보안카드 숫자 입력) 정보를 요구합니다. 뭐 대충 아무 숫자나 입력하고 확인을 누르면 다음 페이지로 넘어갑니다.




최종적으로 위에서 입력한 모든 정보가 전송이 이루어지는데..... 사실 여기서 위의 정보는  무의미한게 왜냐하면 제가 그냥 임의로 막 적어냈거든요. ㅋㅋㅋㅋㅋㅋㅋㅋ 짱개들 분명히 또 안된다고 또 욕하겠죠. 에휴 노답.





>> 금융감독원 팝업창을 생성하는 한 단계 살짝 진화된 파밍 악성코드 삭제 / 제거 방법



1. 현재 백신으로 정밀검사로 진단/치료할 경우 해결이 가능하는 것으로 보입니다만 만일 백신으로 처리가 안될 시 아래의 방법을 통하여 수동으로 삭제해주시기 바랍니다.



2. 수동 조치 요령 


1) Windows 7 기준으로 설명에 'Windows host process (Rundll32)'로 된 csrss.exe를 종료합니다. 

    참고로 정상 csrss.exe는 Client Server Runtime Process로 설명이 되어 있습니다.




2) 아래의 경로에 있는 파일 및 레지스트리를 모두 삭제해주시기 바랍니다.


C:\3050125Ndabb3050125(숫자 7자리 + 영문 5자리 + 숫자 7자리 랜덤 조합)\csrss.exe

C:\3050125Ndabb3050125(숫자 7자리 + 영문 5자리 + 숫자 7자리 랜덤 조합)\Mvcg.dll(%c%c%c%c  dll 파일은 랜덤명)

C:\3050125Ndabb3050125(숫자 7자리 + 영문 5자리 + 숫자 7자리 랜덤 조합)\start.ink


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\start.ink(시작 - 프로그램 - 시작 프로그램 - start.ink 삭제)

C:\Windows\System32\Drivers\Etc\hosts.ics


HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

"run"="c:\\271425~1\\start.lnk" 

Posted by Ec0nomist

댓글을 달아 주세요

  1. 저기요

    해결방법이 참 전문적이고 어렵네요. 컴퓨터 전문가가 아닌 사람들을 위해 조금만 더 쉽게 설명해 주시면 고맙겠습니다.

    2014.04.27 13:17 [ ADDR : EDIT/ DEL : REPLY ]
    • 걍 쉽게 말하자면 안전모드 들어가서 포스트 제일 아래에 삭제하라는거를 경로 확인(짱개 스러운거)하여 키보드 자판에 있는 Delete를 눌러서 삭제하면 됩니다 ㅡ,ㅡ;;

      참고로 HKEY_CURRENT_USER는 레지스트리 편집기를 이용하시면 됩니다. 레지스트리 편집기는 시작 - 실행 - regedit 입력하시면 됩니다. 찾는 건 쉬울겁니다.

      2014.04.27 13:21 신고 [ ADDR : EDIT/ DEL ]
  2. ㅠㅠㅠ

    위에 써진 삭제해야하는 파일이 하나도 없는데 자꾸 팝업창이 떠요.. 포맷만 너덧번 했는데 유선으로 인터넷을 할때는 안뜨다가 무선랜드라이버설치후 무선연결만 하면 다시 팝업창..그렇다고 무선을 사용안할수는 없는데 해결방법 없을까요??ㅠㅠㅠ

    2014.05.25 23:11 [ ADDR : EDIT/ DEL : REPLY ]
  3. ㅠㅠㅠ

    그것도 체크해봤는데 자동으로 DNS받기 체크되어있어요ㅠㅠ

    2014.05.25 23:21 [ ADDR : EDIT/ DEL : REPLY ]
    • http://cafe.naver.com/malzero의 ViOLeT님에게 원격제어 한 번 부탁해보시기 바랍니다..;;

      2014.05.25 23:39 신고 [ ADDR : EDIT/ DEL ]
  4. 소름돋네요 네이버가 갑자기 먹통돼더니 저런창뜨면서 인증할뻔했는데 다행

    2014.06.30 13:31 [ ADDR : EDIT/ DEL : REPLY ]
  5. lv

    관리자의 승인을 기다리고 있는 댓글입니다

    2015.03.09 02:13 [ ADDR : EDIT/ DEL : REPLY ]
  6. lv

    관리자의 승인을 기다리고 있는 댓글입니다

    2015.03.09 02:13 [ ADDR : EDIT/ DEL : REPLY ]