파밍17 [악성코드 분석] 금융정보 탈취하는 KRBanker 분석 금융정보 탈취하는 KRBanker 분석 보고서 1. 개요 최근 악성코드 제작자는 현금을 목적으로 하는 악성코드를 주로 만들고 있다. 랜섬웨어와 같이 사용자 파일을 인질로 하여 현금을 요구하거나, 사용자의 직접적인 금융 정보를 탈취하여 이를 악용하기도 한다. 이번 분석 보고서에서는 자동 구성 프록시(PAC) 설정으로 사용자를 파밍 사이트로 유도하여 금융정보 탈취를 시도하는 KRBanker 에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명adinstall.exe파일크기478,208 byte진단명Banker/W32.Agent.478208.B악성동작파밍, 금융정보 탈취네트워크103.***.***.86 – 공격자 서버 2-2. 유포 경로해당 악성코드의 정확한 유포 방식은 밝혀지지 않았지.. 2016. 11. 10. [악성코드 분석] 인터넷 뱅킹 파밍 KRbanker 악성코드 주의 인터넷 뱅킹 파밍 KRBanker 악성코드 분석 보고서 1. 개요 인터넷뱅킹 파밍 악성코드는 정부 및 금융기관의 노력에도 불구하고 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있어 치료에 한계가 따른다. 이 보고서에서는 활동이 급증하고 있는 악성파일 'KRBanker'을 분석하여, 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 KRBanker_d8dba.exe 파일크기 338,944 byte 진단명 Banker/W32.Agent.338944 악성동작 금융정보 탈취 네트워크 104.***.***.27 (파밍서버.. 2016. 5. 20. [악성코드 분석] 일본 금융사이트 대상 파밍 악성코드 smo.exe(인터넷 뱅킹 파밍) 악성코드 분석 보고서 1. 개요 최근, 금융권 피싱 사이트를 통한 사용자 정보탈취 악성코드가 기승을 부리고 있다. 악성코드 유형별 비율 통계(한국인터넷진흥원, 2015.12)에 따르면 금융사이트파밍 악성코드 유형이 정보유출(금융정보) 유형에 이어 전체에서 높은 비율을 차지하고 있다. 최근에는 국내뿐만 아니라 일본 금융사이트를 대상으로 한 악성코드도 발견되고 있다. 금융권 계정 탈취용 악성코드의 경우, 피싱 사이트를 통해 정보 유출을 유도하므로, 사용자가 피싱 사이트에 쉽게 접속할 수 있도록 여러 파밍 기법을 쓰고 있다. 이번 보고서에서는 일본 금융 사이트를 대상으로 제작된 Trojan/W32.JPBanker.64696(smo.exe)를 분석하며 한동안 파밍 악성코드에서 .. 2016. 3. 2. [악성코드 분석] k01922.exe (인터넷 뱅킹 파밍) k01922.exe 악성코드 분석 보고서 1. 개요 인터넷뱅킹 파밍을 시도하는 금융권 파밍 악성코드는 정부와 금융권의 지속적인 노력에도 불구하고 금전을 노리는 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있다. 이 보고서에서는 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 k01922.exe 파일크기 175,616 byte 진단명 Trojan/W32.KRBanker.175616.E 악성동작 인터넷 뱅킹 파밍 네트워크 m***.co.kr, 23.***.**.10, 23.***.**.18, 114.***.***... 2016. 1. 28. [악성코드 분석] dcujl.exe (금융 파밍) dcujl.exe 악성코드 분석 보고서 1. 유포 경로 특정 화장품 판매 쇼핑몰 웹서버(http://www.g*****e.co.kr/**c/***2/dcujl.exe)에 악성파일이 업로드되어 유포되었다. 유포된 dcujl.exe 파일은 정상 wininet.dll 파일 버전정보를 사용하여 사용자가 악성파일로 의심하지 않도록 한다. [그림]dcujl.exe 버전정보 2. 악성 동작 2.1. DCUJL.EXE dcujl.exe 파일은 C:\Documents and Settings\Administrator\Local Settings\Temp경로에 랜덤 크기 문자열을 추가한 자가 복제본을 랜덤한 문자열로 생성 후 실행한다. 실행된 Temp경로 파일 (예: ycepl.exe)은 아래 2개 파일을 생성한다. C:\w.. 2015. 11. 9. [악성코드 분석] kaulj.exe (인터넷 뱅킹 파밍, 인증서 탈취) kaulj.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 kaulj.exe 파일크기 96,710 byte 진단명 Trojan/W32.KRBanker.96710 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 특징 hosts 및 hosts.ics파일 변조를 통한 위조 사이트 유도 및 인증서 탈취 자동실행으로 지속적인 악성동작 유지 파일 드랍 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 IDA, PEview, OllyDbg, ProcExp 등 2. 분석정보 2.1. 파일 유포 경로 이번 샘플은 10월 첫째 주 주말 동안 *******wire.com외 의류쇼핑몰, 건강식품쇼핑몰, 어린이집 등 40여개에 이르는 사이트를 통해 유포되었다. ******.. 2015. 10. 23. 이전 1 2 3 다음
