정상적인 농협의 접속화면입니다. 위쪽에 크게 새로운 정책을 광고하는
칸이 그려져 있는데 이 악성코드는 팝업창을 새로운 정책에 맞게 보안강화를
해야한다고 계좌번호부터 이체비밀번호까지 요구합니다. 연락처등 보안에
필요한 모든것을 물어봅니다. 그외 아무것도 되지 않습니다.
여기서 대박인건 사이트 주소 자체가 www.nonghyup.com입니다.
정확한 사이트 주소입니다. 정보창에도 제대로 된 주소가 나옵니다.
일단 작동원리는 년초에 나왔던 레이어 방식의 발전형인듯 합니다..
농협주소창의 주소가 들어오면 악성코드가 작동하여 브라우져 위로 레이어를
형성해서 눈에보이지 않는 인터넷창을 겹쳐서 보여주는 형식인듯 합니다.
기존의 파밍악성코드와는 틀리게 host파일도 건드리지 않습니다. 작동원리를
보시면 아시겠지만 건들필요도 없습니다. 알약, v3 설치안되고 프로세스 죽여
버립니다. 심지어는 실행파일 자체도 지워버립니다.
의심되는 프로세스를 몇개 죽여봤지만 은폐, 자기복제등 악성코드 수준이
아닌 최신바이러스가 갖추어야 할 모든것을 갖추고 있습니다. 안전모드에서도
해결이 되지 않고 PE부팅후 의심스러운 화일 지워도 다시 살아나는 기본기능도
상당히 치밀히 만들어져 있습니다.
오늘 처음본것이고 농협만 대상으로 한듯 합니다. 다른은행용은 아직 확인
못했습니다. 내일쯤 컴퓨터 연결해서 해결법 찾아봐야겠습니다.
중국넘들 갈수록 기술의 발전이 상당한듯 합니다.
주소까지 같다니 장난아니네요...
금융권이 뚫리면 앞으로 어떻하냐... 머리도 좋고 지능적인 파밍... 앞으로 피해 사례가 더 커지겠네요
얼른 은행들은 비용절감으로 떠넘기식의 부실을 근절해야할 것입니다.
앞으로 모바일에서도 개인 뱅킹 파밍이 되면... 더 큰일 나겠네요....
댓글