1. 개요
각각의 게시글에는 .torrent 파일이 아닌 실행파일 형식인 .scr 파일이 등록되어 있다. 따라서 사용자가 이 부분을 꼼꼼히 살펴보지 않을 경우 악성파일을 다운로드하게 된다.
악성파일들은 모두 토렌트 아이콘으로 만들어져 있어, 사용자로 하여금 정상적인 토렌트 파일로 인식하도록 조작되어 있다.
다운로드한 파일을 사용자가 실행하게 되면 내부에 포함되어 있는 실제 Torrent 파일과 악성 숙주파일인 26.scr 파일이 생성되면서 실행된다. 사용자를 속이기 위해서 정상적인 Torrent 파일을 포함하고 있는 것이 특징이다.
그 다음에 26.scr 이름의 악성파일이 자동 실행되고, 사용자 몰래 윈도우 폴더 등에 HDSetup.exe, CretClient.exe, CONFIG.INI 파일 등이 생성된다.
윈도우 폴더에 Main 악성파일 2개와 설정파일 등이 생성된다.
이 파일들에 의해서 인터넷 뱅킹 이용자들의 정보 탈취를 시도하게 되며, 기존에 발견되었던 것과 같이 CONFIG.INI 파일에 악성 서버의 호스트 주소가 설정되어 있다. 현재는 차단된 상태로 보여진다.
그외 악성파일의 기능은 이전에 공개된 내역과 동일하다.
국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
☞ http://erteam.nprotect.com/293
3. 마무리
해당 인터넷 방송 사이트를 사용하는 사용자들은 nProtect Anti-Virus 최신 버전으로 업데이트하여 전체 검사를 진행하는 것이 필요하며, 발견되는 악성파일은 반드시 치료하도록 하여야 한다.
또한 국민은행의 경우 정상적인 실제 웹 사이트는 https 로 서비스되고 있다는 점도 유념하면 좋다. 가짜 웹 사이트는 http 를 사용하고 있기 때문에 육안으로 구분이 가능하기도 하다.
[국민은행 : 피싱사이트 주의 및 안전한 인터넷뱅킹 이용방법 안내]
https://otalk.kbstar.com/quics?page=C019391&bbsMode=view&articleId=4513
위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
- 국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
☞ http://erteam.nprotect.com/293
- 국내 인터넷뱅킹 표적용 악성파일 무료 전용백신 공개
☞ http://erteam.nprotect.com/294
2. 악성파일 전파 기법
지난 번에 발견된 바 있는 파일공유 사이트와 유사한 국내 특정 토렌트 관련 사이트에서 금일 새벽 5시 영화관련 내용으로 토렌트 파일처럼 위장하여 총 6건의 게시글이 등록된 것이 발견되었다.
각각의 게시글에는 .torrent 파일이 아닌 실행파일 형식인 .scr 파일이 등록되어 있다. 따라서 사용자가 이 부분을 꼼꼼히 살펴보지 않을 경우 악성파일을 다운로드하게 된다.
악성파일들은 모두 토렌트 아이콘으로 만들어져 있어, 사용자로 하여금 정상적인 토렌트 파일로 인식하도록 조작되어 있다.
다운로드한 파일을 사용자가 실행하게 되면 내부에 포함되어 있는 실제 Torrent 파일과 악성 숙주파일인 26.scr 파일이 생성되면서 실행된다. 사용자를 속이기 위해서 정상적인 Torrent 파일을 포함하고 있는 것이 특징이다.
그 다음에 26.scr 이름의 악성파일이 자동 실행되고, 사용자 몰래 윈도우 폴더 등에 HDSetup.exe, CretClient.exe, CONFIG.INI 파일 등이 생성된다.
윈도우 폴더에 Main 악성파일 2개와 설정파일 등이 생성된다.
- HDSetup.exe
- CretClient.exe
- CONFIG.INI
- CretClient.exe
- CONFIG.INI
이 파일들에 의해서 인터넷 뱅킹 이용자들의 정보 탈취를 시도하게 되며, 기존에 발견되었던 것과 같이 CONFIG.INI 파일에 악성 서버의 호스트 주소가 설정되어 있다. 현재는 차단된 상태로 보여진다.
그외 악성파일의 기능은 이전에 공개된 내역과 동일하다.
국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
☞ http://erteam.nprotect.com/293
3. 마무리
해당 인터넷 방송 사이트를 사용하는 사용자들은 nProtect Anti-Virus 최신 버전으로 업데이트하여 전체 검사를 진행하는 것이 필요하며, 발견되는 악성파일은 반드시 치료하도록 하여야 한다.
또한 국민은행의 경우 정상적인 실제 웹 사이트는 https 로 서비스되고 있다는 점도 유념하면 좋다. 가짜 웹 사이트는 http 를 사용하고 있기 때문에 육안으로 구분이 가능하기도 하다.
[국민은행 : 피싱사이트 주의 및 안전한 인터넷뱅킹 이용방법 안내]
https://otalk.kbstar.com/quics?page=C019391&bbsMode=view&articleId=4513
위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [정보]스마트폰 기기 정보 확인 도구로 위장한 악성 애플리케이션 (0) | 2012.06.20 |
|---|---|
| [긴급]북핵 해결 전략 내용으로 위장된 HWP 0-Day 공격 발견 (0) | 2012.06.20 |
| [주의]AIDS 치료제 트루바다 내용으로 위장된 악성파일 이메일 (0) | 2012.06.18 |
| [정보]유럽의 주류 판매 업체로 위장한 악성 이메일 (0) | 2012.06.15 |
| [긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생 (0) | 2012.06.15 |