시스템파괴가능한 금융사기용 악성코드 주의

시스템파괴기능이 포함된 금융사기용 악성파일이 유포중이라고 합니다. 주의하세요.

출처: http://erteam.nprotect.com/370

■ 시스템 관리자에게 필요한  악성코드 예방활동 
  – 아이피 모니터링 또는 차단: 210.196.253.163 
(일본)
  – 파일실행 차단: winlogones.exe , fmatme.bat

■ 악성 파일의 특징:
  시스템 하위 폴더에 비정상적인 폴더를 생성해서 일반 사용자가 쉽게 접근하지 못하도록 하여서  악성파일 제거 및 대응을 방해하는 방식을 사용하였습니다.

 
■ 유포 파일
qq.exe : QQ메신저와 동일한 파일명
– *.mp3 :  mp3 파일로 가장

– 프로세스를 차단해도 될지는 프로세스라이브러리 사이트를 통해 검색보시는 것이 좋습니다.
   ▶ 프로세스 정보 검색 사이트:  http://www.processlibrary.com/

■ 감염 현상
악성파일인 "qq.exe" 파일이 실행되면 “c:\windows\system32\muis\tempblogs.\tempblogs..\" 폴더가 생성됩니다. 폴더 내엔  "1216", "csrsses.exe", "winlogones.exe" 등의 악성파일이 존재합니다.

  – csrsses.exe: MSN메신저와 동일한 파일명
  – winlogones.exe:악성코드에서만 사용하는 파일명

또 아래과 같은 서비스를 생성합니다.
  – Windows Update Management Extensions
  – Windows Video Management Services

  이 서비스는  정상적인 "winlogon.exe", "calc.exe" 등을 통해서 악성파일인 "csrsses.exe" 와 "winlogones.exe"가 실행하도록 되어있어서 발견하기 어렵게 되어있습니다.

  악성파일은 보안서비스를 방해하고, 국내 인터넷 뱅킹 사이트(농협, 국민은행, 우리은행, 기업은행)에 접속시 피싱사이트로 연결되도록 사용자의 인터넷 접속 현황을 감시하게 되어 있습니다. 

  악성코드에 감염되면 210.196.253.163 아이피를 접속하도록 되어있다고 해서 제가 접근을 해보았는데 ping도 가지 않고 웹페이지가 열리지는 않지만,   웹포트 자체는 열려있는 것으로 확인되었습니다. 위 아이피를 감시하여 해당 아이피로 접속을 시도하는 pc가 있다면 점검해보셔야할 것으로 보입니다.

  210.196.253.163 – 일본, 토쿄  
  << 아이피를 이용하여 접속국가 찾기 링크  -지도 포함 >>
image

■ 시스템 파괴기능 파일 (1월15일이후 동작하도록 세팅)
fmatme.bat : 시스템 파괴 기능

  이 파일이 실행되지 않도록 파일을 찾아서 삭제하거나 기업이라면 미리 프로세스 실행차단을 설정해두시는것이 좋으리라고 생각됩니다.

[CleanAX] 쉽고 빠른 ActiveX 삭제프로그램

  인터넷을 하다 보면 다양한 ActiveX 프로그램들이 설치됩니다.  이런 ActiveX 프로그램들은 컴퓨터를 느려지게 하는 원인이 되고 있으며  이중 일부는  PC 내부의 정보를 노리는 악성프로그램도 포함되어 있어 특별한 관리가 필요합니다. 

  오늘은 이런 ActiveX 프로그램을 간편하고 안전하게 삭제할 수 있는 프로그램을  소개해드립니다.   CleanAX라는 프로그램으로서  국가 사이버 안전센타 (NIS) 에서 제공하는 믿을만한  프로그램이랍니다.

프로그램명: CleanAX  (아래 링크에서 다운로드하실 수 있습니다.)
http://service1.nis.go.kr/safe/securityRecomm.jsp?pArticleNo=1357&pListNo=121&mode=view

■ 장점
1. ActiveX 프로그램을 간편하고 빠르게 삭제할 수 있음
2. ActiveX 프로그램의 세부정보를 쉽게 알 수 있다.
    – 파일의 절대 경로
    – 다운로드받은 사이트 URL
    – 게시자 정보 
3. 잘 사용되지 않는 ActiveX 프로그램을 구분할 수 있다.

■ 사용방법
1. CleanAX를 실행합니다. 국가 사이버 안전센타 로고가 보입니다.
    – 월단위로 주기적으로 정리하기를 권장하고 있네요
    – 삭제된 ActiveX control을 해당 사이트 접속 시 자동 설치되므로 
       잘못 삭제하더라도 걱정할 필요는 없답니다. ^^
image
 
2. 30일동안 사용하지 않는 ActiveX Control 조회를 클릭합니다.
   – 주의점: 해당하는 모든 컨트롤이 선택되어 있으며 삭제를 누르면 한꺼번에 삭제
image

3. 특정 ActiveX control 의 세부정보를 확인할 수 있습니다.  
   – 해당 ActiveX control을 더블클릭하면  파일절대경로,다운로드받은 사이트, 게시자를 확인할 수 있어서 필요여부를 판단할 수 있도록 도와줍니다.
image