최근 국내 인터넷뱅킹 사용자를 표적으로 한 악성코드가 다양한 악의적 기능을 추가하는 과정에서 특정 시점에서 감염된 PC의 시스템 파일을 삭제하는 시스템 파괴 기능이 포함되어 있다는 사실이 새롭게 확인되었다는 소식입니다.
출처 : nProtect 홈 페이지(http://www.nprotect.com/index.html)
▷ <nProtect 대응팀 공식 블로그> [위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재 (2012.12.27)
인터넷뱅킹 악성코드는 국민은행, 신한은행, 우리은행, 기업은행, 하나은행, 외환은행, 농협, 우체국, 새마을금고 등 국내 대다수 금융권에서 제공하는 인터넷뱅킹 서비스를 이용하는 과정에서 동일하게 제작된 웹 사이트로 자동 연결시켜 사용자 몰래 다양한 금융 정보(보안 카드, 공인 인증서 등) 및 개인정보(이름, 주민등록번호)를 수집하는 악성 프로그램을 의미합니다.
▷ 국내 9개 금융 기관을 노리는 인터넷뱅킹 악성코드 유포 주의 (2012.10.19)
이미 블로그에서도 2012년 6월경부터 배포가 이루어지고 있는 다양한 배포 방식과 악의적 동작에 대해 소개한 적이 있으므로 참고하시기 바랍니다.
이번에 확인된 인터넷뱅킹 악성코드는 기존의 금융 정보 및 개인정보 수집 이외에 ① 사용자가 접근할 수 없는 변칙적인 폴더명 지정을 통한 파일 보호(※ 예 : C:\WINDOWS\SYSTEM32\MUIS\tempblogs.), ② AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine) 무력화 기능 및 보안 사이트 접속 방해 ③ Induc 바이러스 감염 ④ 백도어(Backdoor) 계열의 추가 악성 파일 감염을 통한 원격 연결 ⑤ 자체 업데이트 기능 ⑥ 시스템 파괴 기능 등 다양한 기능이 포함되는 경향이 강해지고 있습니다.
특히 이번에 가장 큰 문제가 예상되는 시스템 파괴 기능은 인터넷뱅킹 악성코드에 감염된 시스템이 특정 시간(예, 2013년 1월 15일)이 경과하면 "C:\WINDOWS\fmatme.bat" 배치 파일을 생성하여 시스템 폴더에 존재하는 hal.dll 파일 및 모든 파일을 자동으로 삭제 처리되도록 제작되어 있습니다.(※ 해당 시스템 파괴 시간은 변종에 따라 변경될 수 있으며, 특히 감염된 환경에서 인터넷뱅킹 서비스를 이용한 직후 동작할 수도 있습니다.)
이로 인하여 PC가 켜진 환경에서 자동 삭제 처리가 이루어진 경우에는 "Windows 파일 보호" 창을 생성하여 "Windows 실행에 필요한 파일이 알 수 없는 버전으로 교체되었습니다. 시스템 안정성을 유지하려면 원본 버전으로 복원해야 합니다."라는 안내창이 생성됩니다.
다음 파일이 없거나 손상되어 Windows를 시작할 수 없습니다 :<Windows root>\system32\hal.dll.
위 파일의 복사본을 다시 설치하십시오.
그 이후 시스템 재부팅을 하는 과정에서 hal.dll 파일이 손상되어 Windows를 시작할 수 없다는 오류 메시지로 인하여 시스템을 재설치해야 피해를 입을 수 있습니다.
이에 따라 (주)잉카인터넷에서는 감염PC 맞춤형 전용백신(Trojan/W32.KRBanker.4706277 치료용)을 배포하여 감염된 PC에서 인터넷뱅킹 악성 파일을 진단 및 치료할 수 있도록 지원하고 있습니다.
일반적으로 국내 보안 업체에서는 인터넷뱅킹 악성코드를 Trojan/W32.KRBanker, Win-Trojan/Banker, Trojan/Win32.Banki, Spyware.KorBanker 진단명을 통해 진단하여 치료하고 있으므로, 위와 같은 진단명으로 감염된 파일이 발견된 경우에는 금전적 피해가 발생할 수 있으므로 인터넷뱅킹을 이용하는 금융기관에 문의하여 공인 인증서 및 보안 카드 교체 등의 조치를 추가적으로 하시기 바랍니다.