분석 정보/악성코드 분석 정보

[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현

TACHYON & ISARC 2012. 6. 18. 16:06
1. 개요


잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자들의 예금 불법 인출용 악성파일 변종이 국내 특정 토렌트 자료실 영화파일처럼 위장되어 유포 중인 6개의 게시글을 발견하였다. 해당 게시글은 2012년 06월 18일 새벽 05시 20분 경부터 업로드되기 시작했으며, 기존에 발견되었던 형태와 동일하게 윈도우 폴더에 CretClient.exe, HDSetup.exe 파일 등을 생성하고, CONFIG.INI 설정파일을 이용하여 원격지 서버 IP 로드와 호스트 내용 등을 변경하게 된다. 그 이후에 국내 특정 인터넷 뱅킹 사이트로 접속시 조작된 가짜 웹 사이트를 보여주고, 개인금융 관련 고유정보를 입력하게 하여 개인정보 탈취 및 예금 불법 인출 목적 등으로 시도될 수 있으므로, 이용자들의 각별한 주의가 요망된다.


- 국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

- 국내 인터넷뱅킹 표적용 악성파일 무료 전용백신 공개
http://erteam.nprotect.com/294

2. 악성파일 전파 기법

지난 번에 발견된 바 있는 파일공유 사이트와 유사한 국내 특정 토렌트 관련 사이트에서 금일 새벽 5시 영화관련 내용으로 토렌트 파일처럼 위장하여 총 6건의 게시글이 등록된 것이 발견되었다.



각각의 게시글에는 .torrent 파일이 아닌 실행파일 형식인 .scr 파일이 등록되어 있다. 따라서 사용자가 이 부분을 꼼꼼히 살펴보지 않을 경우 악성파일을 다운로드하게 된다.

 


악성파일들은 모두 토렌트 아이콘으로 만들어져 있어, 사용자로 하여금 정상적인 토렌트 파일로 인식하도록 조작되어 있다.


다운로드한 파일을 사용자가 실행하게 되면 내부에 포함되어 있는 실제 Torrent 파일과 악성 숙주파일인 26.scr 파일이 생성되면서 실행된다. 사용자를 속이기 위해서 정상적인 Torrent 파일을 포함하고 있는 것이 특징이다.

 


그 다음에 26.scr 이름의 악성파일이 자동 실행되고, 사용자 몰래 윈도우 폴더 등에 HDSetup.exe, CretClient.exe, CONFIG.INI 파일 등이 생성된다.


윈도우 폴더에 Main 악성파일 2개와 설정파일 등이 생성된다.

- HDSetup.exe
- CretClient.exe
- CONFIG.INI

이 파일들에 의해서 인터넷 뱅킹 이용자들의 정보 탈취를 시도하게 되며, 기존에 발견되었던 것과 같이 CONFIG.INI 파일에 악성 서버의 호스트 주소가 설정되어 있다. 현재는 차단된 상태로 보여진다.



그외 악성파일의 기능은 이전에 공개된 내역과 동일하다.

국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293


3. 마무리

해당 인터넷 방송 사이트를 사용하는 사용자들은 nProtect Anti-Virus 최신 버전으로 업데이트하여 전체 검사를 진행하는 것이 필요하며, 발견되는 악성파일은 반드시 치료하도록 하여야 한다.

또한 국민은행의 경우 정상적인 실제 웹 사이트는 https 로 서비스되고 있다는 점도 유념하면 좋다. 가짜 웹 사이트는 http 를 사용하고 있기 때문에 육안으로 구분이 가능하기도 하다.

[국민은행 : 피싱사이트 주의 및 안전한 인터넷뱅킹 이용방법 안내]
https://otalk.kbstar.com/quics?page=C019391&bbsMode=view&articleId=4513


위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 :
http://avs.nprotect.com/