본문 바로가기

벌새::Analysis

inst.exe 파밍(Pharming) 악성코드 제거 후 인터넷이 안되는 문제 해결 방법 (2015.1.27)

작년 하반기경부터 유포되는 파밍(Pharming) 악성코드는 호스트 파일은 건드리지 않고 DNS 주소를 조작하여 사용자가 인터넷 접속시 (가짜) 포털 사이트 접속시 금융감독원 팝업창을 생성하여 금융 정보를 수집하는 행위를 수행하고 있습니다.

 

특히 DNS 주소를 조작하는 악성코드에 감염된 경우 악성 파일을 제거한 후 인터넷이 정상적으로 연결되지 않는 문제로 고생을 하는 경우가 있기에 위와 관련된 정보를 전체적으로 살펴보도록 하겠습니다.

관련 이슈는 작년에 블로그를 통해 광고 프로그램 설치로 인해 syotom.exe 악성 파일 감염 방식에 대해 간단하게 소개한 적이 있으며, 알약(ALYac) 보안 업체에서는 세부적인 분석 정보를 공개하고 있으므로 참고하시기 바랍니다.

  • h**p://**ronsil.com/toronbang/r/index.html (SHA-1 : 8804bfdb2d18f9b672653b7929d16e05f96a47c6) - MSE : VirTool:JS/Obfuscator.FG (VT : 11/57)
  • h**p://**ronsil.com/toronbang/r/main.html (SHA-1 : 24ce0d4408cea3ca9af01da3f5c936ef0b1eb4b1) - AhnLab V3 : HTML/Agent (VT : 23/57)
  • h**p://***-health.org/upload/log.exe (SHA-1 : f0171f3ba3e278747b8af4e17436c07f13108d7e) - avast! : Win32:Kukacka (VT : 14/57)

확인된 유포 방식은 보안 패치가 제대로 이루어지지 않은 PC 환경에서 특정 웹 사이트 접속시 취약점(Exploit)을 통해 자동으로 감염이 발생할 수 있는 것으로 보이므로, 바이로봇 APT Shield 2.0 또는 알약 익스플로잇 쉴드(ALYac Exploit Shield) 취약점 차단 솔루션을 이용하시길 권장합니다.

성공적으로 감염이 이루어진 환경에서는 변종에 따라 다양한 파일 아이콘 모양을 가지는 "C:\inst.exe" 악성 파일<SHA-1 : f0171f3ba3e278747b8af4e17436c07f13108d7e - avast! : Win32:Kukacka (VT : 14/57)>을 생성하는 외형적으로 매우 간단한 파일 구조를 가지고 있습니다.

 

하지만 위와 같은 감염으로 인해 발생하는 다양한 내부적 변화가 어떻게 금융 정보를 탈취하는지 확인해 보도록 하겠습니다.

 

1. syotom 시작 프로그램 등록

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - syotom = C:\inst.exe

Windows 시작시 syotom 시작 프로그램 등록값을 이용하여 "C:\inst.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

 

2. Windows 방화벽 허용 목록 추가

"C:\inst.exe" 악성 파일이 외부 통신을 원활하게 하기 위하여 Windows 방화벽의 허용 목록에 "inst" 이름으로 자신을 등록합니다.

 

3. VBScript 방식의 DNS 주소 조작

암호화된 VBScript 코드를 이용하여 "Internet Protocol Version 4 (TCP/IPv4)" 속성의 DNS 서버 주소를 "127.0.0.1" 루프백(Loopback) IP 주소로 변경합니다.

 

4. 특정 QQ 블로그를 참조한 IP 주소 획득

특정 QQ 블로그 계정에 등록된 nickname 문자열을 파싱하여 "23.228.251.238" IP 주소와 같은 등록된 IP 주소를 받아와 파밍(Pharming) 사이트 접속시 이용합니다.

 

5. 공인인증서 수집 및 유출

감염이 성공한 PC에서는 자동으로 사용자 PC의 NPKI 폴더(\NPKI\CrossCert, \NPKI\KICA, \NPKI\ncasign, \NPKI\SignKorea, \NPKI\TradeSign, \NPKI\yessign)를 검사하여 "Applications\zipfldr.dll\NoOpenWithregsvr32 /s zipfldr.dll" 명령어를 이용하여 ZIP 압축 파일을 임시 폴더에 생성합니다.

공인인증서가 포함된 ZIP 압축 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\f53fd090044693a4b9e172e41c305cb9.zip" 파일 패턴으로 생성되어 특정 서버로 전송이 이루어집니다.

 

그러므로 위와 같은 인터넷뱅킹 악성코드에 감염된 사용자는 공인인증서가 저장되어 있었다면 반드시 폐기 후 재발급을 받으시기 바랍니다.

 

6. 네이버(Naver) 홈 페이지 변경

파밍(Pharming) 악성코드에 감염된 PC는 자동으로 홈 페이지 주소가 네이버(Naver)로 변경을 시도합니다.

이를 통해 웹 브라우저를 실행할 경우 자동으로 (가짜) 네이버(Naver) 웹 사이트로 연결되어 "안전한 인터넷뱅킹을 위한 차별화된 인터넷뱅킹 보안서비스 입니다."라는 금융감독원 팝업창을 생성하여, 국민은행, 농협, 신한은행, 우리은행, 하나은행, 우체국, 기업은행, 외환은행, 새마을금고로 접속하도록 유도할 수 있습니다.

사용자가 금융감독원 팝업창을 통해 은행 사이트에 접속할 경우 미국(USA)에 등록된 "23.228.251.240" IP 주소로 연결되는 것을 알 수 있습니다.

연결된 은행 사이트의 URL 주소는 정상적인 은행 사이트와 동일하며 "보다 안전한 인터넷 뱅킹의 이용을 위하여 2014.3.24(월) 인터넷뱅킹, 스마트뱅킹, 폰뱅킹.이 모든 서비스를 이용하시려면 (개인.기업)추가인증후 이용이 가능합니다."와 같은 메시지를 통해 개인정보 및 금융 정보를 모두 입력하도록 유도합니다.

 

■ inst.exe 파밍(Pharming) 악성코드 제거 후 인터넷 연결이 안되는 문제와 해결 방법

 

위와 같은 파밍(Pharming) 악성코드에 감염된 경우 (전용)백신, 수동 제거 방식으로 악성 파일과 시작 프로그램(syotom) 레지스트리 값을 제거하여 1차적으로 치료를 할 수 있습니다.

그런데 치료가 완료된 이후 웹 브라우저를 이용하여 인터넷 접속시 웹 페이지를 표시할 수 없는 문제가 발생하는 경우가 있습니다.

이런 경우에는 "제어판 → 네트워크 및 인터넷 → 네트워크 및 공유 센터 → 로컬 영역 연결" 메뉴를 실행한 후 생성된 "로컬 영역 연결 상태 → 속성 → Internet Protocol Version 4 (TCP/IPv4)" 속성값을 "다음 DNS 서버 주소 사용(127.0.0.1 / 127.0.0.1) → 자동으로 DNS 서버 주소 받기" 항목으로 변경하시기 바랍니다.

 

단, 주의할 점은 회사 네트워크 등의 특수한 네트워크 환경의 경우에는 내부에서 설정한 기본 및 보조 DNS 주소가 고정되어 있으므로 해당 DNS 주소를 확인하여 수정하시기 바랍니다.

 

대부분의 파밍(Pharming) 악성코드는 취약점(Exploit)을 이용한 감염 방식 또는 관리가 부실한 광고 프로그램을 통해 유포되는 경향이 매우 강하므로 취약점 차단 솔루션을 함께 사용하면서 광고 프로그램이 설치되지 않도록 각별히 주의하시기 바랍니다.

  • 저 덧글같은거 잘안다는데 여기 친척집이라 포맷할 유에스비도없어서 어쩌지했는데 폰으로 이글보고 고마워서덧글달아요 좋은정보감사합ㄴ다

  • 감사합니다~ 악성코드 실시간발견이 떠서 치료누른후 인터넷이 안돼서 검색하다가 덕분에 해결했습니다! 감사합니다~^^

  • 젤리는쫄깃 2015.01.29 18:26 댓글주소 수정/삭제 댓글쓰기

    두시간동안 자릴 비운사이에 방화벽이 떠 있더라구요..... 위험한 거라길래 해결방법을 찾다가 찾다가 다행히도 벌새님의 티스토리에 들어오게 되었네요 삭제 후 인터넷이 먹통이 되는 경우가 있다고 하셔서 혹시나 싶어 창 띄워 둔 상태로 삭제했더니 정말로 몇 초 후 먹통..ㅋㅋ 덕분에 깔린 지 세시간만에 삭제했습니다 번호123456 순서대로 엄청 읽고 겨우 없애버렸네요 감사합니다!

  • 컴퓨터를 못하지 않는다 생각하는데 유형은 같으나 inst.exe는 처음봤네요. 정말로 큰도움 되었습니다. 아직 kisa에도 미등록된 녀석인거같네요. 최근 와이파이해킹도 잦은데 어떤 관련이 있는지는 모르겠습니다.

    • 보통 이런 악성 파일은 사용자가 윈도우, Flash, Java 업데이트를 통해 최신 버전을 사용하지 않는 상태로 웹 사이트를 방문하다가 자동으로 감염될 수 있습니다.ㅠㅠ

  • 정말 감사합니다^^

  • thrifty 2015.01.30 02:51 댓글주소 수정/삭제 댓글쓰기

    안녕하세요, 벌새님의 블로그를 평소 자주 이용하다가 잠시 궁금한 점이 있어서 덧글을 남기게 되었습니다.

    다름이 아니라 저 역시 동일한 경로 상에 inst.exe 파일이 존재했었는데 사례와 같은 문제점은 나타나지 않았습니다. 그래서 혹시 정말로 문제가 없는 파일인지, 아니면 해당 악성코드의 변종인지 질의를 드리고자 합니다.

    먼저 파일이 존재하는 것 까지는 일치하였는데 악성코드 감염 증상으로 언급된 현상 모두 없었습니다. 세부적으로 말씀을 드리면

    ① 알약 백신(2015. 1. 30 업데이트) 검사 결과 해당 파일이 탐지되지 않았습니다.
    ② regedit으로 검색 결과 해당 파일과 연관된 레지스트리가 없었습니다.
    ③ 방화벽 허용 목록에 추가되어 있지 않았고
    ④ DNS 서버 주소 사용으로 체크되지 않았습니다.
    ⑤ 인터넷 실행 시 금융감독원 인터넷뱅킹 보안서비스 창이 뜨지 않았습니다.
    ⑥ 파일 삭제 결과(휴지통까지 비웠음) 인터넷 접속에 문제가 없었습니다.

    파일의 용량은 66KB 정도였고 아이콘은 사람 상반신 모양의 하늘색 픽토그램 이었는데요, 혹시 제 컴퓨터에 있던 inst.exe 파일이 게시물에서 언급된 악성코드 감염 증상만 나타나지 않았을 뿐 실제로 악성코드가 맞는지 아니면 정상적 파일인지 궁금하네요.

    • 이미 파일을 삭제하셨다니 추가 확인이 어렵지만 일반적으로 inst.exe 파일명 자체는 다른 정상적인 파일에서도 충분히 사용될 수 있습니다.

      또한 의심스러운 파일은 https://www.virustotal.com/ 사이트에 업로드하여 검사하는 것도 좋은 점검법입니다.^^

  • 그린플래시 2015.01.30 12:41 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 올려주신 글 내용과 정확히 일치하는 문제가 생겨서 검색해보다가 들어오게 됬는데요. 일단 올려주신 1~6번 증상 이후 저 금감원 부분은 안건드리고 종료하고, 다음날 인터넷이 안되서 핸드폰으로 방법 찾아보고, 백신 돌려보고.. 그랬는데 공인인증서는 역시 지워야하는게 맞나요? 당일 발급받은거라..걱정이 되서 여쭤봅니다 ㅠㅠ

  • XP 사용 유저입니다. 가르쳐 주신대로 했더니 인터넷이 바로 연결됐어요. 좋은 정보 주셔서 정말 감사합니다!!

  • TTRDDT 2015.02.01 15:59 댓글주소 수정/삭제 댓글쓰기

    저도 이 PC가 이거 감염됐다 삭제하긴 했는데

    공인인증서는 프로그램 파일에 있는거 인증서 목록 삭제하면 되는 건가요 ?

  • 원래 진짜 댓글안남기는데, 정말 감사합니다. 덕분에 인터넷 제대로 작동하네요~^^ 파밍캅도, 알약도 보호나라 프로그램도 제대로 잡지 못했는데, 작업관리자에서 inst실행 중단시키고 프로그램 삭제한뒤에 dns 자동으로 받기 하니깐 해결되었네요^^ 감사합니다.

  • thrifty 2015.02.02 14:24 댓글주소 수정/삭제 댓글쓰기

    얼마 전에 글을 남겼는데 삭제 후 다시 생겨 말씀하신대로 분석 결과 32 / 57 결과가 나왔고, 실행 결과 게시물에서 언급된 인터넷 두절 현상이 일어남을 확인하였습니다.

    계속해서 레지스트리 편집기로 살펴보니 방화벽의 예외에서 Sevsl(C: \inst.exe를 경로로 삼음)로 등록되어 있었고 HKEY_LOCAL_MACHINE - FirewallPolicy 속에 있는 폴더 속에 inst.exe로 inst.exe:*:Enabled:Sevsl 데이터를 가진 레지스트리와 syotom으로 C: \inst.exe 데이터를 가진 레지스트리가 존재하여 레지스트리와 방화벽에서 삭제를 한 상태인데 파일 실행 전에는 없었던 레지스트리가 생겼고 방화벽에 등록되었다는 점으로 보아 파일이 일회성인 듯 합니다만 별다른 문제가 없을지 궁금합니다.

    • 다시 재감염이 일어나는 문제는 사용자가 여전히 악성 파일만을 제거하고 이런 악성 파일에 감염되는 원인을 해결하지 않았기 때문입니다.

      사용자 PC 환경을 알 수는 없지만 일반적으로 윈도우, Adobe Flash Player, Java와 같은 PC에 설치된 프로그램이 최신 버전인지 확인하시고 바라며 특히 윈도우의 경우 매달 정기적으로 제공하는 윈도우 보안 업데이트를 모두 설치하시기 바랍니다.

      레지스트리는 방화벽에 등록하면서 추가된 것으로 방화벽에 추가된 값을 삭제하시면 레지스트리 값도 자동으로 제거됩니다.

      마지막으로 이런 악성코드는 감염과 함께 공인인증서가 PC에 저장된 경우 자동으로 뽑아가므로 폐기 후 재발급 받으시기 바랍니다.

  • 컴퓨터초보 2015.02.13 03:53 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 벌새님.. 초보가 급한마음에 글을 달아봅니다.. ㅠㅠ
    좀전에 디씨에 미드게시판에 글 보러 들어갔다가 이게 걸려버렸어요.
    뭐 클릭한 것도 없는데, 갑자기 네이버 백신 실시간 검사에
    트로잔바이러스라면서 inst.exe가 창으로 뜨더라구요.
    치료할거냐고 물어보길래 치료버튼을 눌렀는데, 치료 잘하고
    확인버튼 눌러서 창을 닫자마자 또뜨고 또뜨고 계속 반복..

    컴퓨터에 관해서 잘 알진 못하는 초보라, 인터넷 검색을 해보다가
    벌새님께서 써주신 글을 보고, 우선 파일을 치료해보려했습니다만..
    알약으로도 걸리질 않더라구요. 삭제를 해야할거같아서, 삭제버튼을
    눌렀는데 사용중이라면서 삭제가 안되요. 그래서 작업관리자에
    들어가서 중지를 시킬려고보니까 목록에 아예 안뜨더군요.
    msconfig 실행시키고 시작프로그램탭에 있길래 그건 목록에서 해제해놨어요.
    (시작항목:MyKB, 명령:"C:Winst.exe" 위치: 벌새님이 말씀해주신 레지스트리 run아래항목이라고 나옴)

    파일을 도저히 지울 방법이 없어서 인터넷에 있는 언록커? 라는
    강제 파일 삭제 프로그램을 사용했는데
    이것도 그냥 바로 지워지진 않고..
    재부팅후 지워지는 옵션으로만 되더라구요.

    강제삭제옵션 누른다음, 대책없이 컴퓨터 껐다가 키면 뭔가 잘못될까 싶어서..
    끄기 전에 위에서 말씀해주신 사항들 몇가지를 체크해 봤는데요.
    전 좀 이상한거같아요. inst.exe파일이 c드라이브 아래 있는건 확인했고,
    인터넷 기본이 다음이었는데, 익스플로러를 열면 저 금감원 창이 뜨더라고요
    기본화면이 네이버로 옮겨진건 아닌데도.. 다음화면 자체에서요.
    근데 네이버를 가봐도 똑같이 떴어요. 그래서 확실히 감염이구나 싶었는데
    막상 방화벽쪽에 들어가보니까 이게 없어요. regedit에 들어가봐도 없고요.
    저 zip파일도 경로에 들어가서 확인해봤는데 만들어지질 않았구요.

    재부팅하니까 윈도우화면이 평소처럼 바로뜨진 않고 까만화면에 영어로
    뭐라뭐라 길게 뜨면서 느리게 부팅이 되었는데요. (제가 이런걸 잘몰라서.. ㅠㅠ
    이전에 없던 bootex.log와 bootsqm.dat 파일이 c드라이브 아래 생겼더군요)
    강제파일삭제 프로그램덕인지 inst.exe파일은 사라졌고, 금감원창도 없어졌어요.
    인터넷연결도 잘 됩니다. 벌새님이 말씀해주신 증상 중, 부팅 전 확인한
    이상 없었다고 말씀드린 부분도 여전히 별 이상없었고요.

    왜 전 증상이 몇개는 나타나고 몇개는 안나타났던걸까요.
    그리고 저 파일 삭제하고, 금감원창 없어지고, 인터넷도 잘되고 나서도
    의심스러워서 3번쯤 재부팅을 다시 해보면서 매번 또 확인했는데
    다시 저 파일이 생기진 않았습니다.
    근데 문제는 msconfig 시작프로그램 탭을 보면 저게 있어요.
    레지스트리편집기 가서 run아래 항목을 뒤져봐도 데이터값에
    inst.exe가 들어간 항목은 보이질않아요.

    이제 usb에 보관해놨던 공인인증서 다시 꼽아서 써도 괜찮은걸까요? ㅠ_ㅠ
    아직 다 지워진게 아니라면 어떻게 해야할까요.
    (공인인증서는 그동안 사용할때만 꼽았어요. 이거 걸리기 전엔
    컴퓨터에 꼽혀 있지 않은 상태였고요. 여러가지 질문드려 죄송합니다.)

    • bootex.log, bootsqm.dat 파일은 아마 정상적인 시스템 환경에서도 생성될 수 있는 문제없는 파일로 보입니다.

      또한 백신으로 정밀 검사해서 진단되는 부분이 없으며, inst.exe 파일도 존재하지 않고 증상도 없다면 문제는 해결된 것으로 보입니다.

      하지만 사용자가 무시하는 부분은 왜 감염되었는지 해결할 방법에 대해서는 무시하는 것이 아닌가 싶습니다.

      평소에 윈도우를 비롯한 PC에 설치된 프로그램에 대한 업데이트를 꾸준하게 하지 않고 있기 때문이 아닌가 생각되므로 그런 부분도 점검하시기 바랍니다.

  • 컴퓨터초보 2015.02.13 14:30 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 전 새벽에 inst.exe관련해서 질문 댓글을 달았던 사람입니다.
    절박한 마음에 달았던 것인데.. 왜 제 댓글이 삭제되었는지
    이유라도 좀 알려주실수 있으신가요..

    • 안녕하세요.

      제가 올리신 댓글을 보고 답변까지 오전에 했는데 이상하게 제 답변까지 자동으로 스팸 처리가 되어서 삭제되어 있었던 것을 확인하여 복원하였습니다.

      죄송합니다.

  • 컴퓨터초보 2015.02.13 19:22 댓글주소 수정/삭제 댓글쓰기

    아 그런것이었군요. 정말 감사드립니다.
    말씀해주신대로 윈도우 업데이트도 다 하고..
    앞으로 주의하려고 합니다.

    야심한 시각에 정말 막막했는데 덕분에 잘 해결한거 같아요.
    절이라도 드리고 싶을만큼 감사한 마음 가득입니다 ^^
    돌아오는 설 즐겁게 보내시고 항상 좋은일만 있으시길 바랄게요 ^^

  • 진ㅁ자 이거 짜증ㄴ네요.. 덕분에 좋은 정보 알아갑니다 제대로 된 치료법이 없던데 여기는 최고네욬