v3, 알약으로도 잡히지 않습니다.



hosts 파일도 변조 하지 않아요..  



하지만  컴퓨터를 재부팅 하게 되면...





다음이나 네이버를 가장한 사이트가 뜨고,   해당 사이트 중앙엔 금융감독원을 가장한



공인인증서 우짜고 개지럴 떠는 화면이 뜹니다.



그 이미지엔  국민은행, 농협등의 로고 아이콘이 박혀 있고..



해당 아이콘을 클릭하면..    kbstar.co.kr.r     URL로  유도합니다.. 유도된 사이트 또한 짜가죠..



사용자가 URL주소를 자세히 확인하지 않고   공인인증서 로그인 버튼을 누르고.. 해당 공인인증서



비밀번호를 누르는 순간   여러분의 계좌는 털리게 됩니다. ㅎㅎㅎ







이 쒸브랄 바이러스의 작동 현상은 아래와 같습니다.









웹서핑을 하다   해당바이러스에 감염된 사이트의 게시판등을 열람하게되면



특정 vbs 스크립트가 다운로드 되면서 동작합니다.



해당 스크립트에는   사용자의 컴퓨터에서  공인인증서 및 인증서 암호를 탈취하기위한



실행파일 프로그램이 다운로드 된후 특정 실행파일이 실행되도록 코딩되어 있습니다.



스크립트의 내용은 제가 을매전 피밍주의 관련 글 올린거 내용 보시면 됩니다.  ㅡ,.ㅡ









vb스크립트에 의해 실행된 특정 실행파일은 첫번째로..





HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



의 레지스트리 정보 또는



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COMMANDPROCESSOR



레지스트리정보 또는



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SYSTEM\CurrentControlSet\Services



레지스트리 정보를 조작해





재부팅 할때  다시금 자신이 유도하는 특정 실행파일이 실행되게끔 합니다.







그러면 재부팅할때 마다 다시 실행되는 실행파일은 뭔짓을 하느냐..?







요놈이 재부팅될따 마다 실행되면...



요놈은   윈도우 표준 cmd.exe 파일을 백그라운드로 동작시킨후 종료되며,,



백그라운드로 실행되고 있는 윈도우 표준 cmd.exe를 통해   또 다시 백그라운드로



동작하면서







제어판의 인터넷 옵션의 홈페이지를 자기가 유도할 네이버나 다음의 주요포탈로 바꿔치기 한후



사용자가 웹브라우져를 열게되면  분명 www.naver.com  이나  www.daum.net 은 맞는데..



보여지는 화면은 조작된 화면이 뜨게끔 합니다.







그리고 다른 한편으로는   사용자가 컴퓨터에 설치돼 있을 공인인증서 파일이나



usb hdd, 메모리에 들어있을 공인인증서 파일 검색해





%User%\Local Settings\Temp  폴더에   ML_  폴더나  아니면 폴더명 끝이 _  문자로 끝나는 폴더를

만드로 그리로 카피시킨후..



이것을 ZIP 파일로 압축해 놓고 대기를 하고 있게 되죠.







그래서 만약 사용자가  유도된 사이트로 가서  금감원 이미지내에 있는 금융사별 이미지를 클릭하면

조작된 금융사 사이트로 유도한후

공인인증서 로그인을 클릭하고.. 해당 암호를 입력하면...





ZIP파일로 대기시키고 있던 공인증서 파일과  암호를 자신이 유도한 사이트로 전송시키는

지랄을 떠는게..



바로 요번 지랄 같은 피밍의 핵심 입니다.







그래서 이를 제거 하는 방법은...





일단 윈도우 작업관리자를 열어..  백그라운드로 실행되고 있는 CMD.EXE 프로세스를 종료시킵니다.







일단은  제어판에 인터넷옵션에 가셔서   삭제버튼을 눌러 사이트 방문기록에서 부터 임시파일 및 쿠키파일등

모든 파일을 삭제 하신후

 

윈도우 탐색기를 열어

%User%\Local Settings\Temp  폴더의 모든 내용 삭제..    



--->  %USER% 는 자신이 로그인한 유저아디와 일치합니다.





%SYSTEM%\TEMP    의 모든 내용삭제





--->  %SYSTEM% 은 윈도우가 설치된 폴더명 입니다.











제어판의 관리도구 -> 서비스  아이콘을 눌러...



비정상적으로 의심되는  서비스를 클릭해..  중지,  사용안함으로 해놓고









시작버튼 명령실행  메뉴에서  MSCONFIG를 실행해 시작프로그램 탭에

수상한 시작프로그램을 꺼줍니다.

시작프로그램 탭에 보여지는 내용은  앞서 제가 설명한

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

레지스트리 정보와 일치합니다.



그러므로 가장최근에 등록한 놈은 가장 맨 밑의 라인에 들어가 있겠죠? ^^







이렇게 하면.. 클리어 됩니다.  ^^