본문 바로가기

벌새::Analysis

hosts.ics 파일을 이용한 인터넷뱅킹 악성코드 주의 (2013.4.1)

반응형

스팸성 블로그에 유명 소프트웨어 다운로드 링크를 이용하여 다양한 수익성 프로그램을 설치하는데 이용되는 특정 서버가 외부 해킹을 통해 설치 파일이 변조되어 인터넷뱅킹 악성코드를 유포하는 부분을 확인하였습니다.

 

  AhnLab Next V3 Beta : PUP / PUS 검사의 중요성 (2013.3.31)

 

해당 유포 방식과 관련된 내용은 AhnLab Next V3 보안 제품의 PUP / PUS 검사에 대한 글에서 확인하시기 바랍니다.

사용자의 부주의한 동의 과정을 거쳐 설치가 이루어지는 변조된 설치 파일(MD5 : 4fede2a0c083a2122187fe0e2a83fccb)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Scar (VT : 19/46) 진단명으로 진단되고 있습니다.

 

1. "C:\WINDOWS\system32\YouPin.exe" 파일

  • C:\WINDOWS\system32\YouPin.exe (MD5 : 4fede2a0c083a2122187fe0e2a83fccb) - AhnLab V3 : Trojan/Win32.Scar (VT : 19/46)

해킹을 통해 변조된 설치 파일은 다운로드를 통해 "C:\WINDOWS\system32\YouPin.exe" 파일로 생성되며, 자신을 시작 프로그램으로 등록하여 시스템 시작시 자동으로 실행되도록 등록합니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - YouPin = C:\WINDOWS\system32\YouPin.exe

이를 통해 시스템 시작시마다 자동 실행된 YouPin.exe 파일은 다음과 같은 추가적인 악성 파일 다운로드 동작으로 연결됩니다.

  • h**p://www.**mwc.com/notepad.exe (MD5 : 895ad55f6b41fd2ce7bb6c08dcc16c19) - AhnLab V3 : Malware/Win32.Generic (VT : 19/43)
  • h**p://www.**mwc.com/mstsc.exe (MD5 : 3c8d3030ff1da542458e4db13c61d0b4) - AhnLab V3 : Trojan/Win32.Scar (VT : 19/46)
  • h**p://www.**mwc.com/csres.exe (MD5 : 69a324f9c7d68b43a2d1748faf53f093) - AhnLab V3 : Spyware/Win32.Agent (VT : 21/46)

특정 서버로부터 매번 다운로드되는 악성 파일들은 삭제된 파일이 존재할 경우 재감염을 유발할 수 있습니다.

 

2. notepad.exe (MD5 : 895ad55f6b41fd2ce7bb6c08dcc16c19) 파일

해당 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 폴더에 YouPin1.exe ~ YouPin12.exe 파일을 다수 생성하며, 그 중에서 YouPin1.exe 파일을 통해 파일 생성 및 호스트 파일 변조를 수행합니다.

 

[생성 / 변경 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dfe32UYD.exe
 - MD5 : 7a44f753aeae17ae5c26307562da8ffe
 - Microsoft : PWS:Win32/OnLineGames.LH (VT : 7/46)

 

C:\WINDOWS\system32\drivers\etc\hosts :: 파일 변경

 

C:\WINDOWS\system32\drivers\xpV3001.sys :: 특정 조건에서 생성 추정(0 Byte)

이를 통해 생성된 파일을 살펴보면 임시 폴더에 80MB 이상의 비정상적인 크기를 가진 dfe32UYD.exe 파일을 생성하여 메모리에 상주하도록 제작되어 있습니다.

 

이를 통해 보안 제품의 악성 파일 수집 및 진단 방해와 사용자가 파밍(Pharming) 사이트에 접속하여 공인인증서를 입력할 경우 탈취하는 기능을 수행할 것으로 추정됩니다.

또한 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts)에 안랩 클라우드 서버(gms.ahnlab.com)를 루프백(Loopback)으로 등록하여 ASD 진단을 방해하고 있습니다.

 

3. csres.exe (MD5 : 69a324f9c7d68b43a2d1748faf53f093) / mstsc.exe (MD5 : 3c8d3030ff1da542458e4db13c61d0b4) 파일

추가로 다운로드되는 csres.exe, mstsc.exe 2개의 파일은 다음과 같은 유사한 기능을 수행합니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\drivers\etc\hosts.ics

 

C:\WINDOWS\Tasks\conime.exe
 - MD5 : 484ece8c56d043611f8f791e302fe9d8
 - AhnLab V3 : Trojan/Win32.Scar (VT : 21/46)

다운로드된 mstsc.exe 파일은 "예약된 작업" 폴더(C:\WINDOWS\Tasks) 내에 conime.exe 파일을 생성하며, Windows 탐색기를 통해서는 해당 실행 파일이 보이지 않는 점을 이용한 것으로 보입니다.(※ 파일 확인을 위해서는 GMER 도구를 사용하시기 바랍니다.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe, :: 감염 전
 - Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\conime.exe :: 감염 후

생성된 "C:\WINDOWS\Tasks\conime.exe" 파일은 정상적인 Winlogon 레지스트리 값에 자신을 추가하여 시스템 시작시 자동으로 실행되도록 등록되어 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
 - URL =
http://58.64.150.169:54322/1.txt

또한 Windows 기본 서비스 중 "BITS(Background Intelligent Transfer Service)" 항목에 "URL" 값을 추가하여 시스템 시작시 해당 서버에 접속하여 파밍(Pharming) 사이트 정보를 받아오도록 제작되어 있습니다.

이를 통해 등록 가능한 URL 주소는 현재 2개 IP(58.64.150.169:54322 / 98.126.57.146:12345)가 확인되고 있습니다.

C:\WINDOWS\system32\drivers\etc\hosts.ics

시스템 시작시마다 자동으로 실행되는 Windows 기본 서비스(BITS(Background Intelligent Transfer Service))를 통해 공격자는 파밍(Pharming) 사이트 접속이 차단될 경우 업데이트를 통해 새로운 사이트 목록을 전송하여, "C:\WINDOWS\system32\drivers\etc\hosts.ics" 파일에 기록합니다.

위와 같이 감염된 시스템에서 사용자가 웹 브라우저를 실행하여 금융권 웹 사이트를 접속할 경우 "C:\WINDOWS\system32\drivers\etc\hosts.ics" 파일을 참조하여 파밍(Pharming) 사이트로 접속이 이루어지는 동작을 확인할 수 있습니다.

특히 기존의 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts) 변조에서 발전된 위와 같은 방식은 호스트 파일 탐지를 통해 감염 여부를 판단하는 파밍캅(Pharming Cop)을 우회할 수 있습니다.

 

4. 파밍(Pharming) 사이트 살펴보기

 

현재 등록된 정보에서는 감염으로 인해 외환은행(keb.co.kr), 씨티은행(citibank.co.kr), 삼성전자 새마을금고(secbank.co.kr), 새마을금고(kfcc.co.kr), 기업은행(ibk.co.kr), 우체국(epost.go.kr), 신한은행(shinhan.com), 국민은행(kbstar.com), 하나은행(hanabank.com), 우리은행(wooribank.com), 농협(nonghyup.com)을 타켓으로 하고 있습니다.

피싱및 해킹(전화금융사기)인한 금융사기가 지속적으로 발생하고 있습니다.
11월18일부터 모든 은행권에서 전자금융사기 예방서비스를 시행합니다.
금융자산예방서비스를 실행후 사용해주세요.

사용자가 파밍(Pharming) 웹 사이트에 접속하여 제시된 메뉴를 클릭할 경우 금융 사기 관련 메시지를 통해 "금융자산 예방서비스"를 사용하도록 유도합니다.

사용자가 해당 금융권 사이트에 접속할 경우 메인 화면상에는 "전자금융사기 예방시스템 신청"이라는 배너창을 통해 접속을 유도하고 있습니다.

이를 통해 연결되는 화면에서는 이름(성명), 주민등록번호, 전화번호, 출금 계좌번호, 계좌 비밀번호, 사용자 아이디, 사용자 비밀번호, 이체 비밀번호를 수집합니다.(※ 주민등록번호, 이체 비밀번호 유효성 검사를 합니다.)

다음 단계에서는 보안 카드 일련번호와 전체 보안 카드 번호를 입력하도록 하고 있습니다.

정보 입력이 완료되면 "보안승급이 정상적으로 완료되였습니다. 30분뒤 사용해주세요."라는 메시지가 생성됩니다.

그 후 "예방서비스에 정상적으로 가입되였습니다."라는 메시지를 통해 사용자로부터 수집된 금융 정보로 실제 금전적 피해를 유발할 수 있습니다.

 

5. 그 외 시스템에 표시되는 정보

해당 악성코드 감염을 통해 시스템에 표시되는 프로세스 정보에서는 시스템 시작시 자동 실행되는 "C:\WINDOWS\Tasks\conime.exe" 프로세스는 정상적인 "C:\WINDOWS\system32\conime.exe" (Console IME) 시스템 파일과 이름이 동일하여 사용자에게 혼동을 유발하고 있습니다.

 

또한 정보 수집 기능을 가진 dfe32UYD.exe 프로세스의 경우 일부 시스템에서 CPU가 50% 수준을 유지하는 동작이 발생하는 부분도 확인할 수 있습니다.

그 외에 시스템 시작 과정에서 악성 파일 동작으로 인해 "Script Control" 창이 일시적으로 생성되는 현상이 발생하므로, 해당 창이 생성되는 PC 환경에서는 반드시 국내외 유명 보안 제품을 이용하여 정밀 검사를 하시기 바랍니다.

 

이번 인터넷뱅킹 악성코드는 국내에서 파밍(Pharming) 사이트 차단에 대비하여 시스템 시작시마다 업데이트를 통해 정보를 변경할 수 있으므로 사용자들은 이런 악성코드에 감염되지 않도록 다음과 같은 보안 수칙을 반드시 지키면서 인터넷을 이용하시기 바랍니다.

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (1) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (2) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (3) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (4) (2013.3.17)

 

마지막으로 인터넷뱅킹 악성코드는 수시로 업데이트를 통해 파일 교체 및 연결 주소를 변경하므로, 인터넷뱅킹을 이용하는 사용자는 웹 사이트의 구조, 안내문의 맞춤법 등을 잘 살펴서 금융 피해를 당하는 일이 없도록 하시기 바랍니다.

 

728x90
반응형
  • 비밀댓글입니다

    • 일단 말씀하신 dfe32UYD.exe, YouPin.exe 파일들을 찾아서 모두 삭제해 버리시기 바랍니다.

      그리고 해당 악성 파일은 시스템 시작시 C:\WINDOWS\system32\YouPin.exe 파일을 실행해서 반복적인 감염을 유발하므로 해당 파일도 삭제되었는지 확인하시기 바랍니다.

      또한 C:\WINDOWS\Tasks\conime.exe 파일을 제거해야 하므로, 실행창에 cmd 명령어를 통해 명령 프롬프트를 열어서 del C:\WINDOWS\Tasks\conime.exe 명령어를 통해 삭제해 보시기 바랍니다.

      되도록이면 GMER 툴로 찾는 것이 더 편할 것으로 보입니다.

      이런 해결 외에도 내용을 잘 읽으면서 하나씩 찾아 제거하시기 바라며, 만약 해결이 어려우면 보호나라(국번없이 118번)에 연락해서 원격 지원을 받아보시기 바랍니다.

  • 비밀댓글입니다

    • 관련 악성 파일에 대해 v3에서 모두 진단하므로 아마 이상이 없을 것으로 보입니다.

      마지막으로 hosts 파일을 메모장으로 열어서 gms.ahnlab.com 부분이 있으면 삭제하시기 바랍니다.

  • 이원주 2013.04.12 10:07 댓글주소 수정/삭제 댓글쓰기

    많은 정보 감사합니다.제 컴푸터에 올리신 글과 똑같은 파일및 현상이 발생하였는데요 ...
    컴퓨테에 관하여 문외한이라 삭제 방법이라던지향후 조치방법에 대하여 궁금하여 도움을 받고자 글을 올립니다

  • 벌새 님 , 잘 지내고 계시죠 ?

    벌새 님 입장에서 보시면
    무식하다고 여기실지도 모르는 질문 몇 가지만 하려고 하는데요 ...

    csres.exe , mstsc.exe
    위 두 파일이 생성하는 hosts.ics 문제를 수동으로 해결하려 한다면

    BITS 관련 레지스트리에서 URL 값만 삭제하고
    hosts.ics를 삭제하면 되는 건가요 ?
    (이 부분 , 알고 싶은 부분인데요 .
    그런데 이 부분은 다음 지식 및 네이버 지식iN 답변 활동에서 인용하기는 힘들기 때문에.....
    다시 "다르게" 질문을 드린다면)

    만약 BITS 관련 레지스트리에서 URL 값을 찾아서 삭제하기 힘든 사용자의 경우
    hosts.ics의 내용을 모두 비운 후에
    hosts.ics의 속성을 읽기 전용으로 함으로써 파밍을 방지할 수 있을까요 ??

    위 두 질문은
    제가 벌새 님의 이 글을 제 포스팅에 링크로 포함해서 답변 활동에
    이용하려고 드리는 질문이고요 .
    (벌새 님 글을 링크하는 제 포스팅은 링크를 하게 되면
    이 글에 트랙백으로 보내겠습니다 .... 제가 벌새 님 글들을 제 답변 활동에
    너무 많이 이용하는 거 같아서 항상 죄송하고요 ...> 이용은 99.99% 링크로만 합니다 ...)

    답변 활동과 관계없이 개인적으로 궁금한 점은
    BITS 서비스는 (제가 지금 키 위치가 정확히 기억은 안 나는데요..)
    BITS 키 하위 필터(Filter) 키에서 hex 값들로 등록해서도 원하는 사이트에 접속시키는 것으로 관찰을 한 적이 있는데 ,
    그 부분이 파밍에 이용될 확률은 없을까요 ???

    벌써 또 금요일이네요 .

    이번 주말도 행복한 주말 보내십시오 ^ ^*

    • 말씀하신 2개 값만 삭제해서는 해결이 안되면 시작 프로그램으로 등록된 YouPin.exe 파일이 매번 부팅시마다 악성 파일을 받아와 재감염을 시키므로 파일 제거가 우선적으로 이루어져야 합니다.

      hosts.ics은 기본적으로 감염 이전 환경에서는 존재하지 않는 것이 정상이므로 내용을 비울 필요없이 삭제가 우선이 되어야 할 것으로 보입니다.

      글 링크나 트랙백은 언제든지 환영입니다.^^

      아마 차후에 더 발전된 파밍 기법이 나온다면 사용자의 DNS 정보를 변조하는 방식이 아닐까 싶습니다.

      글벌레님도 좋은 주말 보내시고 언제나 행복하세요.^^

  • 비밀댓글입니다

    • 호스트 파일을 삭제하여도 인터넷 이용에는 큰 문제가 없습니다.

      단지 일부 서비스를 이용하는 과정에서 호스트 파일 체크하거나 하는 경우에는 경고나 제약이 있지 않을까 싶습니다.

      그리고 삭제에 실패하는 경우에는 안전모드에서 치료해 보시기 바랍니다.

  • 비밀댓글입니다

    • 내용을 봐서는 해당 호스트 파일을 악성 파일이 계속적으로 변경하거나 수정을 방해하는 것이 아닌가 싶습니다.

      우선 호스트 파일만 수정하려고 하지 마시고, 현재 시스템에 존재하는 악성 파일부터 제거를 하는 것이 우선으로 보입니다.

      사용하시는 보안 제품이 무엇인지 모르지만 다른 유명 제품을 이용하여 정밀 검사를 해보시기 바랍니다.

      수동 검사 툴로는 http://www.kaspersky.com/antivirus-removal-tool?form=1 사용해 보시기 바랍니다.

  • 비밀댓글입니다

    • 링크에서 제공하는 프로그램은 수동 검사용(실시간 감시 기능이 없습니다.)으로 무료로 제공됩니다.

      업데이트 기능이 있어서 검사할 때마다 최신 버전으로 DB를 가져오는 것으로 알고 있습니다.

      그리고 설치 형태가 아니라 포터블 방식이라서 사용하시고 그냥 폴더(파일)만 삭제하시면 됩니다.

  • 비밀댓글입니다

  • 비밀댓글입니다

    • 차라리 그런 식으로 하지 마시고 http://support.microsoft.com/kb/972034/ko 내용처럼 Fix it 파일을 다운로드하여 호스트 파일을 기본값으로 수정해 보시기 바랍니다.

      파일 실행하고 반드시 재부팅하시기 바랍니다.

  • 비밀댓글입니다

    • 제가 확인한 이런 방식의 악성 파일은 사용자가 백신에서 호스트 파일을 원래 상태로 복구를 해도 악성 파일이 제거되지 않는다면 수시로 재변경이 이루어졌습니다.

      그러므로 당분간 호스트 파일을 잘 확인하시기 바라며, 매일 1회 정도 정밀 검사를 진행하시기 바랍니다.

      그리고 이런 악성 파일 감염의 상당수는 사용자가 보안 패치(윈도우, Adobe Flash Player, Oracle Java 등)를 최신으로 하지 않아서 발생하며, 일부 광고 또는 정상적인 프로그램이 설치된 환경에서 해킹을 통해 전파가 이루어지고 있습니다.

      그러므로 항상 보안 패치와 불필요한 프로그램은 삭제하시고 사용하시기 바랍니다.

  • 비밀댓글입니다

    • 이틀전이라면 아마 주말경으로 보이며 이런 악성 파일을 주말을 이용하여 집중적으로 유포하는 경향이 강합니다.

      해당 쇼핑몰의 ActiveX 방식인지는 알 수가 없지만 워낙 다양한 배포 경로를 이용하기 때문에 매우 주의해야 하며, 국내에서 많이 사용하는 백신 프로그램의 진단에 걸리지 않도록 테스트 해서 배포하므로 보안 패치가 다른 무엇보다도 중요합니다.

      hosts.old는 정상적인 호스트 파일을 변조하는 과정에서 백업해 둔 것으로 보이며, 핵심 기능은 hosts 파일입니다.

      악성 파일은 특정 목적으로 제작될 수도 있지만, 어떤 경우에는 다양한 정보 수집을 목적으로 사용자 PC에서 행하는 정보를 모두 수집하는 경우도 있습니다.

      어떤 악성 파일이냐에 따라 다르므로 "감염 = 정보 유출"은 아닐 수도 있고 맞을 수도 있습니다.

  • 비밀댓글입니다

    • 아마 XP가 아니라 Vista, 7, 8 운영 체제 사용자인 듯 싶습니다.

      이런 경우에는 호스트 파일을 열 때, 메모장을 관리자 권한으로 실행하여 호스트 파일을 열어 편집하시기 바랍니다.