중소기업(s*******o.com) 사이트에서 웹 사이트 변조로 배포하고 있는 파밍 악성코드
□ 배포지 : http://gma.*****.or.kr/nde.exe
□ 바이러스 토탈 백신검사https://www.virustotal.com/ko/file/8051c927e0b783a61e589136254db0028af65d5e91a2a62bd4769d7bc922e476/analysis/
□ 접속사이트 : kt.tobeuapk.com
□ 증상
사용자 금융정보 탈취 목적으로 제작되어 금융 보안카드 정보 유출 시도
□ 생성파일
C:\Program Files\Common Files\nde.exe
C:\koreaautoup.bmp
▶ 생성된 파일(koreaautoup.bmp) 파일은 단순히 파일명이 기록되어 있다.
□ 생성 레지스트리
Run koreaautoup: "C:\Program Files\Common Files\nde.exe"
특이하게도 배포지는 or.kr 도메인을 사용하고 있다.
▶ 배포지 접속
▶ hosts 파일에 등록된 피싱사이트
▶ 감염 후 정상 웹 사이트 접속시 출력되는 금융정보 탈취용 팝업 출력
'끄적임' 카테고리의 다른 글
| 위장용 파밍 악성코드 (0) | 2014.05.26 |
|---|---|
| 공유기 취약점으로 인한 공유기 DNS 설정 변조 (0) | 2014.05.15 |
| Web Browser Memory 변조를 이용한 파밍 악성코드 (0) | 2014.05.07 |
| nprotect 모듈을 가장한 악성코드 (0) | 2014.05.07 |
| Gh0st RAT (0) | 2014.04.24 |
