포스팅 내용

악성코드 분석 리포트

변조된 다수 사이트에서 드라이브 바이 다운로드 방식 이용, 호스트파일 변조 악성코드 발견!

2014년 2월 21일 오후 12시경부터 변조된 다수 사이트에서 드라이브 바이 다운로드 방식을 이용하여, 호스트파일을 변조시키는 악성코드가 발견되었습니다.


이 악성코드에 감염되면 호스트파일이 변조될 뿐만 아니라, 부팅 시 자동으로 해당 악성코드가 실행되도록 레지스트리에 자신을 등록합니다. 이번에 발견된 호스트파일 변조 악성코드의 특징은 호스트파일 변조 리스트에 기존 포털 사이트, 은행 사이트 이외에 증권사 사이트가 추가된 것입니다.


이번에 추가된 증권사 사이트 목록은 아래와 같습니다.



○ 호스트파일 변조 리스트에 추가된 증권사 사이트

미래에셋증권, 대신증권, 삼성증권, 동부증권, 키움증권



악성코드에 감염된 후 호스트파일이 변조되면 유명 포털사이트를 위장한 피싱사이트로 접속

 


 

악성코드에 감염된 후 호스트파일이 변조되면 유명 금융사이트를 위장한 피싱사이트로 접속


 

금융사이트로 위장한 피싱사이트에서 개인 금융 정보 수집 시도


 

해당 악성코드는 사용자가 특정 사이트에 접속을 시도하면, 변조된 사이트로 연결시키는 동시에 팝업창을 띄워 클릭을 유도합니다. 또한, 사용자 PC가 악성코드에 감염되면 추가로 공격자가 지정해 놓은 악성코드를 내려 받습니다. 이 악성코드는 감염된 사용자의 PC에서 공인인증서를 탈취하는 역할을 하며, 이렇게 수집된 인증서는 공격자가 지정해놓은 특정 서버로 전송합니다.


해당 파일은 nProtect KeyCrypt Uninstaller 관련 모듈로 위장하고 있습니다.


정상 파일로 위장한 악성코드



보안대응팀에서는 즉시 한국인터넷진흥원(KISA) 측에 사이트 차단을 요청하였으며 현재(21일 16시 00분 기준) 가짜 증권사 사이트는 사용자의 접근이 금지된 상황이며, 가짜 포털 및 가짜 은행 사이트들은 접속이 아직

가능한 상황이므로 주의해야 합니다.


알약에서는 이 악성코드에 대해, Trojan.Generic.AD.12063559, Spyware.PWS.KRBanker.D로 탐지하고 있습니다. 이후 변종이 발견되는 대로 지속적으로 DB를 업데이트 할 예정이니, 알약의 DB를 최신으로 유지해 주시기 바랍니다. 


어떤 금융기관도 금융정보 전체를 요구하지 않습니다. 사용자들의 각별한 주의 부탁 드립니다.




* 드라이브 바이 다운로드(Drive By Download) : 공격자가 악성코드를 심어놓은 웹페이지에 사용자가 보안이 취약한 PC로 접속하게 되면, 사용자 모르게 악성코드를 감염시키는 방식



  1. 전영우 2014.02.22 21:03  수정/삭제  댓글쓰기

    제컴퓨터가지금 저래요 ㅠ.ㅠ 알약으로 치료했는데도 계속저런데 어떻게해야하나요 ㅠ.ㅜ

    • 알약(Alyac) 2014.02.24 08:59 신고  수정/삭제

      알약으로 치료하셨는데도 동일 증상이 반복되시는 건가요? ㅠㅠ 알약 프로그램 [menu] - [신고하기] 기능을 이용해서 신고해 주세요! 확인 후 신속히 조치를 취해 드리도록 하겠습니다!

티스토리 방명록 작성
name password homepage