2024-03-29 22:45 (금)
시스템 파괴기능 탑재 금융사기 악성파일 다수 발견...주의!
상태바
시스템 파괴기능 탑재 금융사기 악성파일 다수 발견...주의!
  • 길민권
  • 승인 2012.12.28 01:58
이 기사를 공유합니다

시스템 하위 폴더에 비정상적 폴더 생성…악성파일 제거 및 대응 방해
시스템을 파괴하는 기능이 추가된 국내 인터넷 뱅킹 이용자를 노린 악성파일 (KRBanker) 변종이 다수 발견돼 아주 위험한 상황이다. 
 
보안 전문기업 잉카인터넷(대표 주영흠 www.nprotect.com)은 ISARC 대응팀을 통해 2012년 12월 27일 23시경 국내 인터넷 뱅킹용 악성파일이 파괴기능을 탑재함에 따라 보안경보단계 중 최고단계인 "위험"을 발령하고 주의를 당부했다.
 
이번에 발견된 악성파일의 분석결과 시스템 하위 폴더에 윈도우에서 지원하지 않는 비정상적인 폴더를 생성해 일반 사용자가 쉽게 접근하지 못하도록 하여 악성파일 제거 및 대응을 방해하며, 특정시점이 되면 시스템을 파괴하는 기능을 추가해서 자신의 흔적을 제거하려는 시도를 한다.
 
또한 시스템 날짜가 2013년 01월 15일 이후(01월 16일부터)가 되면 C드라이브 루트폴더에 fmatme.bat 파일을 생성하여 실행시켜 시스템 폴더의 중요 파일들을 삭제시키며, 변종에 따라서 2012년 12월 04일, 12월 06일, 12월 17일, 12월 25일, 12월 26일 이후 파괴기능이 작동된 악성파일도 다수 확인된 상태이다. 이미 부팅불가 피해를 입은 사용자가 있을 것으로 예상되고 있는 만큼 각별한 주의가 필요한 상황이다
 
배치파일 명령이 작동되면 시스템 파일들이 다수 삭제되어 정상적인 부팅이 불가능하게 되며, 시스템 파일이 손상되어 부팅이 정상적으로 진행되지 않을 경우 보유하고 있는 윈도우OS (부팅) CD 나 복구CD 등을 이용해서 시스템 파일을 복원하여야 정상적인 시스템 사용이 가능해 진다.
 
해당 악성파일은 국내 유명 인터넷 뱅킹 사이트에 접속 시 정상적인 사이트와 동일한 화면이 보이지만 실제로는 피싱사이트의 IP주소로 접속되어 개인 금융정보 유출 가능성마저 우려되고 있어 사용자들의 각별한 주의가 요구된다.
 
잉카인터넷 ISARC 대응팀 문종현팀장은 “국내 인터넷 뱅킹용(KRBanker) 악성파일 변종이 꾸준히 증가하고 있고, 기법도 점차 다변화되고 있는 추세이다. 특히 최근의 전자금융 피싱사이트들은 실제 인터넷 뱅킹 사이트 디자인을 그대로 모방해 제작하고 있기 때문에 평상시 인터넷 화면만으로는 진위여부를 가리기 쉽지 않다”라며, “제작자들이 악성파일의 은폐와 함께 이제는 사용자의 시스템까지 파괴하려는 시도를 하고 있다는 점에서 악성파일 유입을 사전에 차단하는 것이 매우 중요해 지고 있다”라고 강조했다.
 
잉카인터넷 nProtect Anti-Virus/Spyware3.0 정식 서비스 제품에는 다음과 같이 이번에 발견 보고된 악성코드 파일들을 진단하고 있다.
 
Trojan/W32.KRBanker.48016
Trojan/W32.KRBanker.50489
Trojan/W32.KRBanker.50521
Trojan/W32.KRBanker.50552
Trojan/W32.KRBanker.51712
Trojan/W32.KRBanker.54272
Trojan/W32.KRBanker.54272B
Trojan/W32.KRBanker.54784 외 변종 다수
 
잉카인터넷 ISARC는 신규 보안취약점과 관련한 자료 수집 및 모니터링을 지속적으로 진행하고 있으며, 새로운 악성파일이 발견되면 신속하게 업데이트 서비스를 제공하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★