KRBanker 악성파일
보안 전문업체인 잉카인터넷은 국내 인터넷 뱅킹 이용자를 노리는 악성파일인 'KRBanker'의 변종이 다수 발견 돼었다고 밝히며, 이번에 발견된 변종 악성파일은 PC 사용자가 국내 유명 인터넷 뱅킹 사이트에 접속하려고 시도하면 화면이 똑같아 보이는 피싱사이트로 연결해 개인 금융정보를 빼내 간다고 합니다.
특히 이 파일은 기존 `KRBanker' 악성파일과 달리 침투 흔적을 없애기 위해 시스템의 중요 파일을 파괴하는 기능을 갖추고 있어 치명적이며. 따라서 이용자들이 시스템 파일을 복원해야 하는 불편을 초래한다고 합니다.
잉카인터넷 KRBanker 설명 원문 : http://erteam.nprotect.com/370
전용백신 다운로드 :
http://pds.nprotect.com/upload_file/pds_vaccine/nProtectEAVKRBanker.exe
이 악성파일은 시스템 날짜가 2013년 1월 15일 이후가 되면, C드라이브 루트폴더에 fmatme.bat파일을 생성해 실행시키도록 프로그래밍돼 있다. 배치파일 내부에는 시스템 폴더의 중요 파일들을 삭제하는 명령어가 삽입돼 있다.
일부 변종에 따라서는 지난 12월 4일, 6일, 17일, 25일, 26일 이후 파괴기능이 작동된 악성파일도 확인된 상태이다. 이미 부팅불가 피해를 입은 사용자가 있을 것으로 예상되는 상황이다.
이 악성파일은 실행환경에 따라 숙주 악성파일("csrsses.exe" 와 "winlogones.exe")이 보이는 경우도 있지만, 일반적으로 작동 중에도 정상적인 윈로그온(winlogon.exe)과 계산기(calc.exe) 프로세스만 보여 악성파일이 실행 중인 것을 육안으로 파악하기 쉽지 않다는 것이 잉카인터넷의 설명이다.
이에 이 회사는 이를 원천 차단하는 전용백신을 개발해 www.nprotect.com을 통해 무료로 배포하고 있군요.
잉카인터넷은 인터넷 뱅킹용 악성파일의 변종이 꾸준히 발견되고 기법도 다양화되는 추세이며 특히 최근에는 실제 인터넷 뱅킹 사이트 디자인을 그대로 모방해 제작하기 때문에 인터넷 화면만으로 진위를 가리기 쉽지 않아 각별한 주의가 필요하다고 합니다.
