Cribinst.exe 악성코드 분석 보고서
1. 분석 정보
1.1. 개요
Cribinst.exe 파일은 기타 금융권 악성파일과 동일하게 hosts 파일을 변조하고 인터넷 접속 시 가짜 금융권 사이트로 연결되어 개인정보 입력을 유도한다.다만, 기존의 금융권 악성파일과는 다르게 화면을 캡쳐하여 저장하는 기능이 추가되었다.
1.2. 동작
Cribinst.exe 파일 실행 시 C:\ 하위에 '1b'이란 파일을 생성한다. 확장자가 없는 '1b' 파일은 .bmp파일 포맷을 가지며. 해당 파일을 확인하면 악성코드에 의해 PC 실행화면 중 일부가 캡처된 이미지 파일임을 알 수 있다.
[그림] 악성코드에 의해 캡처된 PC 실행화면
또한, C:\windows\system32\drivers\etc\hosts, hosts.ics 파일을 변조/생성하고 해당파일 및 자기자신의 속성을 숨김으로 변경한다.
112.***.***.189 www.naver.kr 37719 112.***.***.189 www.naver.com 14348 112.***.***.189 www.gmarket.com 33008 112.***.***.189 www.nate.com 35436 112.***.***.189 www.daum.net 29235 112.***.***.189 www.hanmail.net 23192 112.***.***.189 www.11st.com 20835 112.***.***.189 www.auction.com 27534 112.***.***.189 www.11st.co.kr 20136 112.***.***.189 www.zum.co.kr 39815 112.***.***.189 www.coupang.com 39041 112.***.***.189 www.coupang.co.kr 28081 112.***.***.189 www.kbstar.com 13840 112.***.***.189 www.shinhan.com 27474 112.***.***.189 www.ibk.co.kr 30154 112.***.***.189 www.wooribank.com 21812 112.***.***.189 www.keb.co.kr 37884 112.***.***.189 www.hanabank.com 30680 --- 이하 생략 | 112.***.***.189 www.kbstar.com.pc 30946 112.***.***.189 www.nonghyup.com.pc 15935 112.***.***.189 www.shinhan.com.pc 11981 112.***.***.189 www.ibk.co.kr.pc 38113 112.***.***.189 www.wooribank.com.pc 34739 112.***.***.189 www.keb.co.kr.pc 17570 112.***.***.189 www.hanabank.com.pc 25484 112.***.***.189 www.kfcc.co.kr.pc 18147 112.***.***.189 www.epostbank.go.kr.pc 28003 112.***.***.189 www.citibank.co.kr.pc 15007 112.***.***.189 www.standardchartered.co.kr.pc 13495 112.***.***.189 www.kdb.co.kr.pc 26867 112.***.***.189 www.busanbank.co.kr.pc 30240 112.***.***.189 www.dgb.co.kr.pc 29405 112.***.***.189 www.kjbank.com.pc 22326 112.***.***.189 www.knbank.co.kr.pc 35908 112.***.***.189 www.suhyup-bank.com.pc 39342 112.***.***.189 www.cu.co.kr.pc 26680 --- 이하 생략 |
[표] 변조된 hosts, hosts.ics 파일 내용
변조된 내용에 따라 사용자가 포털 사이트, 쇼핑몰 사이트, 은행권 사이트에 접속을 시도 할 경우 가짜 페이지로 연결된다.
가짜 페이지는 진짜인 것처럼 위장하고 있으나, 실제 포털 사이트의 화면을 캡쳐한 이미지를 사용하여 생성한 페이지로 금융감독원 팝업창 외에는 클릭이 되지 않는다.
[그림] 가짜 포털 사이트
팝업창의 은행 로고를 선택하면 가짜 금융권 사이트로 연결되며, 모든 메뉴 선택 시 “보다 안전한 서비스 이용을 위하여 추가 인증이 필요합니다” 팝업과 함께 전자금융사기예방서비스 페이지로 연결된다. 해당 페이지에서는 사용자의 이름, 주민번호, 계좌 관련 정보, 보안카드 정보 등 개인정보의 입력을 유도한다.
사용자의 시작 페이지 옵션을 특정 포털사이트로 변경하여 사용자가 인터넷 접속 시 가짜 사이트로 접속되도록 하며, 레지스트리에 등록하여 윈도우 재시작 시마다 자동실행 된다.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="www.n****.com" |
[표] 시작페이지 변경 레지스트리
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "fBpj7595"="C:\\Documents and Settings\\Administrator\\바탕 화면\\Cribinst.exe" |
[표] 자동 실행 레지스트리
2. 결론
Cribinst.exe 는 대체로 기존의 금융권 악성파일과 유사한 동작을 한다. 다만, 동작화면을 캡처하여 저장하는 기능이 추가되어 추가적인 정보유출의 우려가 있어 주의가 필요하다.
Cribinst.exe 는 잉카인터넷 보안솔루션 nProtect Anti-Virus/Spyware 로 진단 및 치료가 가능하다.
[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면
[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [악성코드 분석] fgrfev1.1.exe (2) | 2015.12.29 |
|---|---|
| [악성코드 분석] zxarps.exe (0) | 2015.12.24 |
| [악성코드 분석] 0f591.exe (0) | 2015.12.22 |
| [악성코드 분석] winhost.exe (0) | 2015.12.16 |
| [악성코드 분석] ver.exe (백신설치 여부 확인) (0) | 2015.11.26 |