Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[1월5주차] KRBanker 악성코드 정보
작성일 2015-02-06 조회 2093

1. 개요




매년 사용자의 금융정보, 시스템정보, 개인정보를 탈취하려는 악성코드가 인터넷을 사용하기 위해 사용되는 MS, JAVA, Adobe 등 각종 취약점에 의해 다수 발견되고 있다. 이 중 파밍기능을 가진 악성파일은 사용자 PC를 감염 시켜 금융감독원 사칭, 국내은행 홈페이지 위장, 국내 포털사이트 위장 등 사용자의 눈을 속여 금융정보를 탈취하려는 악의적인 행위를  한다.  매년 지속적으로 발견되는 KRBanker 악성코드는 변종의 형태로 발견되어  대응조차 어렵기 때문에 사용자는 금융정보 및 개인정보 등을 비롯하여 금전적인 피해를 입는 상황이다. KRBanker형 악성코드에 감염이 되더라도 금전적인 피해를 줄이기 위해선 스스로 주기적인 점검이 필요하다. 
아래 언급될 내용은 사용자가 스스로 PC점검을 통해 해당 악성코드에 아래 내용과 같은 정보가 존재하는지에 대해 점검 할 수 있도록 매주 발견되는 악성코드의 정보를 제공하려고한다.

 

 

2. 1월5주차 악성코드 정보

1월 5주차(1월 26일~ 2월 1일) 발견된 KR Banker형 악성코드이다. 국내를 타겟으로 하는 KRBanker 악성코드는 유형이 유사하다. 아래 언급된 악성코드 외에 KRBanker 악성코드가 다수 발견되고 있으며,  [악성코드 생성], [레지스트리 변조 및 생성] 정보의 틀에서 많이 벗어 나지 않는다.
※금주에 발견된 KRBanker 악성코드로써 아래 정보와 같은 내용이 존재 할 경우 해당 PC의 점검이 필요하다.


2.1 KRBanker- A Type
[악성코드 생성]
악성코드 위치:C:UDiskMonitor
악성코드 위치:C:UDiskMonitorConfig.ini
악성코드 위치:C:UDiskMonitorInstall.exe
악성코드 위치:C:[Random 16자리]
악성코드 위치:C:[Random 16자리]Config.ini
악성코드 위치:C:[Random 16자리]setting.xml
악성코드 위치:C:[Random 16자리][Random 5자리].exe
악성코드 위치:C:[1자리].txt

[레지스트리 변조 및 생성]
악성 레지스트리 위치:HKUS-1-5-21-790525478-1078145449-854245398-1003SoftwareMicrosoftWindowsCurrentVersionRunTFM0N: "c:[Random 16자리][Random 5자리].exe"
 



2.2 KRBanker- B Type
[악성코드 생성]
악성코드 위치:C:Documents and Settings사용자 이름Local SettingsTemporary Internet FilesContent.IE5Q4FUCSJ2cgi_personal_card[1]
악성코드 위치:C:Documents and Settings사용자 이름Local SettingsTempHs_
악성코드 위치:C:Documents and Settings사용자 이름Local SettingsTemporary Internet FilesContent.IE5Q5RCK4YWip[1].htm
악성코드 위치:C:Documents and Settings사용자 이름Local SettingsTemp[32자리 Hash].zip
악성코드 위치:C:Documents and Settings사용자 이름Local SettingsTemporary Internet FilesContent.IE5HI8FB3V9upload[1].php

[레지스트리 변조 및 생성]
악성 레지스트리 위치:HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunsyotom: "[악성코드 실행 위치]"
악성 레지스트리 위치:HKLMSYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList[악성코드 실행 위치]: "[악성코드 실행 위치]:*:Enabled:Sevsl"
악성 레지스트리 위치:HKLMSYSTEMControlSet001ServicesTcpipParametersInterfaces{A818B022-3A2E-4D13-9ED1-76205A434463}NameServer: "8.8.8.8,168.126.63.1"
악성 레지스트리 위치:HKLMSYSTEMControlSet001ServicesTcpipParametersInterfaces{D6CDA637-7D66-4C46-9758-CCE70B9A73C0}NameServer: "127.0.0.1,127.0.0.1"
악성 레지스트리 위치:HKUS-1-5-21-790525478-1078145449-854245398-1003SoftwareMicrosoftInternet ExplorerMainStart Page: "about:blank"
악성 레지스트리 위치:HKUS-1-5-21-790525478-1078145449-854245398-1003SoftwareMicrosoftInternet ExplorerMainStart Page: "www.naver.com"
 





 
2.3 1월 5주차 발견 된 악성코드 요약정리
1) 공인인증서 탈취 후 C&C 전송



2) DNS 설정 변경 후 악성코드에 의한 자체 DNS 서버 사용



3) Internet Explore 시작페이지 변경



4) 감염 시스템 Count 전송
 - qzone.qq.com r
 - r.qzone.qq.com




3. 결론

국내를 타겟으로 제작된 KRBanker는 지속적으로 발견되고 있다.  위 언급된 악성코드의 유형이 다르며 주기적으로 변종의 형태로 KRBanker 악성코드가 제작되고 있다.
공격자들은 개인정보, 시스템 정보, 금융정보와 금전을 탈취하기위해 다양한 변종과 다양한 유형의 악성코드를 지속적으로 유포하기 때문에 피해사례가 속출되고 있다.
이와 같이 악성코드에 감염을 최소화 하기 위해선 사용자 스스로 보안을 인지하여 예방해야 한다.
이러한 예방책으로 사용자는 아래 항목을 지켜야한다.

 

- 취약한 프로그램을 사용하지 않으며, 주기적으로 최신의 버전을 유지 한다.
- 신뢰 가지 않은 사이트에서 유포하는 프로그램을 다운로드 받지 않는다.
- PC에 설치되어 있는 백신프로그램을 최신업데이트로 유지한다.
- 백신프로그램의  실시간 감지 기능을 ON으로 유지한다.
- 악성코드 정보 및 정보 동향 습득을 통한 사용자 스스로의 점검

 

위와 같은 항목을 지켜 사용자 스스로 시스템의 보안을 유지하기를 권고한다.
 

첨부파일 첨부파일이 없습니다.
태그