시작페이지로 시작페이지로
즐겨찾기추가 즐겨찾기추가
로그인 회원가입 | 아이디찾기 | 비밀번호찾기 | 장바구니 모바일모드
홈으로 와싸다닷컴 일반 상세보기

트위터로 보내기 미투데이로 보내기 요즘으로 보내기 싸이월드 공감
새로운 피밍바이러스 형태와 치료 방법...
자유게시판 > 상세보기 | 2015-03-05 12:11:50
추천수 11
조회수   2,353

제목

새로운 피밍바이러스 형태와 치료 방법...

글쓴이

[가입일자 : 2001-06-14]
내용

v3, 알약으로도 잡히지 않습니다.



hosts 파일도 변조 하지 않아요..  



하지만  컴퓨터를 재부팅 하게 되면...





다음이나 네이버를 가장한 사이트가 뜨고,   해당 사이트 중앙엔 금융감독원을 가장한



공인인증서 우짜고 개지럴 떠는 화면이 뜹니다.



그 이미지엔  국민은행, 농협등의 로고 아이콘이 박혀 있고..



해당 아이콘을 클릭하면..    kbstar.co.kr.r     URL로  유도합니다.. 유도된 사이트 또한 짜가죠..



사용자가 URL주소를 자세히 확인하지 않고   공인인증서 로그인 버튼을 누르고.. 해당 공인인증서



비밀번호를 누르는 순간   여러분의 계좌는 털리게 됩니다. ㅎㅎㅎ







이 쒸브랄 바이러스의 작동 현상은 아래와 같습니다.









웹서핑을 하다   해당바이러스에 감염된 사이트의 게시판등을 열람하게되면



특정 vbs 스크립트가 다운로드 되면서 동작합니다.



해당 스크립트에는   사용자의 컴퓨터에서  공인인증서 및 인증서 암호를 탈취하기위한



실행파일 프로그램이 다운로드 된후 특정 실행파일이 실행되도록 코딩되어 있습니다.



스크립트의 내용은 제가 을매전 피밍주의 관련 글 올린거 내용 보시면 됩니다.  ㅡ,.ㅡ









vb스크립트에 의해 실행된 특정 실행파일은 첫번째로..





HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



의 레지스트리 정보 또는



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COMMANDPROCESSOR



레지스트리정보 또는



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SYSTEM\CurrentControlSet\Services



레지스트리 정보를 조작해





재부팅 할때  다시금 자신이 유도하는 특정 실행파일이 실행되게끔 합니다.







그러면 재부팅할때 마다 다시 실행되는 실행파일은 뭔짓을 하느냐..?







요놈이 재부팅될따 마다 실행되면...



요놈은   윈도우 표준 cmd.exe 파일을 백그라운드로 동작시킨후 종료되며,,



백그라운드로 실행되고 있는 윈도우 표준 cmd.exe를 통해   또 다시 백그라운드로



동작하면서







제어판의 인터넷 옵션의 홈페이지를 자기가 유도할 네이버나 다음의 주요포탈로 바꿔치기 한후



사용자가 웹브라우져를 열게되면  분명 www.naver.com  이나  www.daum.net 은 맞는데..



보여지는 화면은 조작된 화면이 뜨게끔 합니다.







그리고 다른 한편으로는   사용자가 컴퓨터에 설치돼 있을 공인인증서 파일이나



usb hdd, 메모리에 들어있을 공인인증서 파일 검색해





%User%\Local Settings\Temp  폴더에   ML_  폴더나  아니면 폴더명 끝이 _  문자로 끝나는 폴더를

만드로 그리로 카피시킨후..



이것을 ZIP 파일로 압축해 놓고 대기를 하고 있게 되죠.







그래서 만약 사용자가  유도된 사이트로 가서  금감원 이미지내에 있는 금융사별 이미지를 클릭하면

조작된 금융사 사이트로 유도한후

공인인증서 로그인을 클릭하고.. 해당 암호를 입력하면...





ZIP파일로 대기시키고 있던 공인증서 파일과  암호를 자신이 유도한 사이트로 전송시키는

지랄을 떠는게..



바로 요번 지랄 같은 피밍의 핵심 입니다.







그래서 이를 제거 하는 방법은...





일단 윈도우 작업관리자를 열어..  백그라운드로 실행되고 있는 CMD.EXE 프로세스를 종료시킵니다.







일단은  제어판에 인터넷옵션에 가셔서   삭제버튼을 눌러 사이트 방문기록에서 부터 임시파일 및 쿠키파일등

모든 파일을 삭제 하신후

 




윈도우 탐색기를 열어

%User%\Local Settings\Temp  폴더의 모든 내용 삭제..    



--->  %USER% 는 자신이 로그인한 유저아디와 일치합니다.





%SYSTEM%\TEMP    의 모든 내용삭제





--->  %SYSTEM% 은 윈도우가 설치된 폴더명 입니다.











제어판의 관리도구 -> 서비스  아이콘을 눌러...



비정상적으로 의심되는  서비스를 클릭해..  중지,  사용안함으로 해놓고









시작버튼 명령실행  메뉴에서  MSCONFIG를 실행해 시작프로그램 탭에

수상한 시작프로그램을 꺼줍니다.

시작프로그램 탭에 보여지는 내용은  앞서 제가 설명한

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

레지스트리 정보와 일치합니다.



그러므로 가장최근에 등록한 놈은 가장 맨 밑의 라인에 들어가 있겠죠? ^^







이렇게 하면.. 클리어 됩니다.  ^^

 

추천스크랩소스보기 목록
김승수 2015-03-05 12:16:24
답글

감사합니다 .

박종일 2015-03-05 12:24:34
답글

저는 다음이나 네이버를 열었을때,
'해당 사이트 중앙엔 금융감독원을 가장한 공인인증서 우짜고 개지럴 떠는 화면'이 뜨지를 않는데,
이러면 피싱바이러스에 의한 감염은 없는거죠?

컴맹이라서 자세하게 써주신 내용을 읽어보아도 잘 모르게습니다....ㅜ.ㅜ

박진수 2015-03-05 12:30:21

    넵.. 해당 뉴스 클릭해서 제대로 가면 읖는 겁니다.

감염돼 있으면.. 짜가 사이트가 떠요..

그리고.. 또한가지.. 짜가 사이트 안뜨더라도 안심하진 마시고..


%User%\Local Settings\Temp 폴더안에 폴더이름 끝이 _ 언더하이픈으로 끝나는 폴더명이 있는지 보시고

8aldfaaljagaljfa.zip 과 같은 아주 해괴망측한 zip 파일이 있는지도 보세요...

이것이 계속해서 지웠는데도 생성된다면...


아직까진 빽그라운드로 공인인증서 파일을 검색해서 temp폴더로 카피시킨후 압축시켜 zip파일로 대기시켜놓는

프로그램은 계속해서 돌고 있는 것이니 안심하시면 안됩니다.


해당 zip파일 압축푸셔보면 아시겠지만.. 공인인증서파일 죄다 들어가 있답니다.. ㅎㅎ

박종일 2015-03-05 12:41:49
답글

박진수님 자세한 설명 감사드립니다.
한가지만 더 알려주시면 감사하겠습니다.
'%User%\Local Settings\Temp 폴더'가 어디에 있는 건가요?
C드라이브를 열어보았는데.....찾을 수가 없습니다.

박진수 2015-03-05 13:55:02

    윈도우 7이시면 c:\사용자\로그인아이디\Local Settings\Temp 입니다. xp는 c:\Documents and Settings\로그인아이디\Local Settings\Temp 입니다.

숨김파일 보이기 옵션을 키시고 찾아야 합니다.

박종일 2015-03-05 14:25:20

    박진수님, 자세한 설명에 감사드립니다....^^

이경연 2015-03-05 14:10:58
답글

전 파밍인지 모르고 급하게 이체할 일이 있는데 안되서 바보같이 공인인증서 비번 다 적고 심지어 ARS 전화까지 왔었는데 다행히 별이상 없더군요...

이영진 2015-03-05 22:11:14
답글

저도 짜증났는데 Malware Zero Kit 이걸로 안전모드에서 바이러스 제거후에야 괜찮아졌습니다.. 매번 느끼지만 알약은 치료도 못하면서 속도 저하만 일으키는 바이러스더군요...

  • 광고문의 결제관련문의