시스템파괴가능한 금융사기용 악성코드 주의

시스템파괴기능이 포함된 금융사기용 악성파일이 유포중이라고 합니다. 주의하세요.

출처: http://erteam.nprotect.com/370

■ 시스템 관리자에게 필요한  악성코드 예방활동 
  – 아이피 모니터링 또는 차단: 210.196.253.163 
(일본)
  – 파일실행 차단: winlogones.exe , fmatme.bat

■ 악성 파일의 특징:
  시스템 하위 폴더에 비정상적인 폴더를 생성해서 일반 사용자가 쉽게 접근하지 못하도록 하여서  악성파일 제거 및 대응을 방해하는 방식을 사용하였습니다.

 
■ 유포 파일
qq.exe : QQ메신저와 동일한 파일명
– *.mp3 :  mp3 파일로 가장

– 프로세스를 차단해도 될지는 프로세스라이브러리 사이트를 통해 검색보시는 것이 좋습니다.
   ▶ 프로세스 정보 검색 사이트:  http://www.processlibrary.com/

■ 감염 현상
악성파일인 "qq.exe" 파일이 실행되면 “c:\windows\system32\muis\tempblogs.\tempblogs..\" 폴더가 생성됩니다. 폴더 내엔  "1216", "csrsses.exe", "winlogones.exe" 등의 악성파일이 존재합니다.

  – csrsses.exe: MSN메신저와 동일한 파일명
  – winlogones.exe:악성코드에서만 사용하는 파일명

또 아래과 같은 서비스를 생성합니다.
  – Windows Update Management Extensions
  – Windows Video Management Services

  이 서비스는  정상적인 "winlogon.exe", "calc.exe" 등을 통해서 악성파일인 "csrsses.exe" 와 "winlogones.exe"가 실행하도록 되어있어서 발견하기 어렵게 되어있습니다.

  악성파일은 보안서비스를 방해하고, 국내 인터넷 뱅킹 사이트(농협, 국민은행, 우리은행, 기업은행)에 접속시 피싱사이트로 연결되도록 사용자의 인터넷 접속 현황을 감시하게 되어 있습니다. 

  악성코드에 감염되면 210.196.253.163 아이피를 접속하도록 되어있다고 해서 제가 접근을 해보았는데 ping도 가지 않고 웹페이지가 열리지는 않지만,   웹포트 자체는 열려있는 것으로 확인되었습니다. 위 아이피를 감시하여 해당 아이피로 접속을 시도하는 pc가 있다면 점검해보셔야할 것으로 보입니다.

  210.196.253.163 – 일본, 토쿄  
  << 아이피를 이용하여 접속국가 찾기 링크  -지도 포함 >>
image

■ 시스템 파괴기능 파일 (1월15일이후 동작하도록 세팅)
fmatme.bat : 시스템 파괴 기능

  이 파일이 실행되지 않도록 파일을 찾아서 삭제하거나 기업이라면 미리 프로세스 실행차단을 설정해두시는것이 좋으리라고 생각됩니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다