오늘 2시간전에 본 파밍악성코드입니다. 정확히 말하면 파밍정도가 아닙니다.

농협사이트 대상이었고 상당히 악성인듯 합니다. 2시간만에 쥐쥐치고

컴퓨터 본체 들고 왔습니다. 스샷은 컴퓨터 안에 들어있고 아직 연결하지

못해서 시간되면 올릴까 생각중입니다

정상적인 농협의 접속화면입니다. 위쪽에 크게 새로운 정책을 광고하는

칸이 그려져 있는데 이 악성코드는 팝업창을 새로운 정책에 맞게 보안강화를

해야한다고 계좌번호부터 이체비밀번호까지 요구합니다. 연락처등 보안에

필요한 모든것을 물어봅니다. 그외 아무것도 되지 않습니다.

 

여기서 대박인건 사이트 주소 자체가 www.nonghyup.com입니다.

정확한 사이트 주소입니다. 정보창에도 제대로 된 주소가 나옵니다.

 

일단 작동원리는 년초에 나왔던 레이어 방식의 발전형인듯 합니다..

농협주소창의 주소가 들어오면 악성코드가 작동하여 브라우져 위로 레이어를

형성해서 눈에보이지 않는 인터넷창을 겹쳐서 보여주는 형식인듯 합니다.

 

기존의 파밍악성코드와는 틀리게 host파일도 건드리지 않습니다. 작동원리를

보시면 아시겠지만 건들필요도 없습니다. 알약, v3 설치안되고 프로세스 죽여

버립니다. 심지어는 실행파일 자체도 지워버립니다.

의심되는 프로세스를 몇개 죽여봤지만 은폐, 자기복제등 악성코드 수준이

아닌 최신바이러스가 갖추어야 할 모든것을 갖추고 있습니다. 안전모드에서도

해결이 되지 않고 PE부팅후 의심스러운 화일 지워도 다시 살아나는 기본기능도

상당히 치밀히 만들어져 있습니다.

 

오늘 처음본것이고 농협만 대상으로 한듯 합니다. 다른은행용은 아직 확인

못했습니다. 내일쯤 컴퓨터 연결해서 해결법 찾아봐야겠습니다.

 

중국넘들 갈수록 기술의 발전이 상당한듯 합니다.

출처:http://lite.parkoz.com/zboard/view.php?id=express_freeboard2&page=1&sn1=&divpage=123&sn=off&ss=on&sc=off&select_arrange=headnum&desc=asc&no=238081

파코즈