벌새::Analysis
2014. 4. 29. 01:04
DNS 서버 주소 변경을 통한 파밍(Pharming) 사이트 연결 주의 (2014.4.29)
● 해당 정보를 공유해주신 바이러스 제로 시즌 2 보안 카페 매니저(ViOLeT)님께 감사드립니다. 최근 확인되지 않은 악성코드 감염을 통해 네트워크 설정 중 DNS 서버 주소를 변경하여 포털 사이트 접속시 금융감독원 보안 인증창을 생성하는 행위를 확인하였습니다. 이를 통해 사용자가 팝업창에서 표시한 금융기관 접속시 가짜 은행 사이트로 접속을 유도하여 금융 정보를 탈취하며, 추가적인 ActiveX 설치를 통해 백도어(Backdoor)에 감염되는 문제가 발생할 수 있습니다. 확인된 DNS 서버는 네트워크 설정 중 "Internet Protocol Version 4 (TCP/IPv4)" 속성값의 "기본 설정 DNS 서버" 주소를 통신사에서 제공하는 주소가 아닌 "107.183.16.***" IP 주소로 변경..