안녕하세요, 바이러스를 지배하는 자 – 터보백신 입니다.
지난 주 사회적으로 이슈가 되었던 ‘ 팝업창 주의보, 금감원 사칭 신종 피싱 사례 ! ’ 에 대한 터보백신 고객지원 사례 및 확인 / 치료에 대하여 작성한 포스팅을 올립니다.
교묘한 피싱 팝업창에 어떻게 대처해야 하는 것일까?
※ 기업 및 단체에서 근무하시는 분들 중에 특히 회계 및 관리 부서 쪽 담당자라면 위와 같은 교묘한 피싱 팝업창이 나왔을 때 보다 더 주의를 해주시기 바랍니다.
지난 주 터보백신 고객지원팀에 문의를 주신 한 건설업체에서는 교묘한 피싱 팝업창을 사용자 PC에 띄워주는 악성코드 형태에 감염되어 실제 담당자가 정보를 입력하여 피해를 본 사례가 발생하였고, 신문 기사를 보면 잘못 안내에 따라 정보를 전달한 분이 이틀에 걸쳐 무려 3,000만원 상당의 금융 피해를 입었다는 내용도 접하게 됩니다.
기본적인 행동 지침으로 알려진 항목은 아래와 같습니다.
꼭 숙지하시고 피해 상황을 겪게 되시면 재빨리 피해를 최소화하실 수 있어야 하겠습니다.
금융기관 콜센터 전화번호
연번 | 은행 | 전화번호 |
---|---|---|
1 | 한국산업은행 | 1588-1500 |
2 | 신한은행 | 1599-8000 |
3 | 스탠다드차타드은행 | 1588-1599 |
4 | 중소기업은행 | 1566-2566 |
5 | 한국외환은행 | 1588-3500 |
6 | 한국수출입은행 | 02-3779-6114 |
7 | 신용보증기금 | 1588-6565 |
8 | 부산은행 | 1588-6200 |
9 | 제주은행 | 1588-0079 |
10 | 경남은행 | 1588-8585 |
11 | 한국주택금융공사 | 1688-8014 |
12 | NH농협은행 | 1588-2100, 1544-2100 |
13 | 우리은행 | 1588-5000, 1599-5000 |
14 | 하나은행 | 1588-1111, 1599-1111 |
15 | 국민은행 | 1588-9999, 1599-9999 |
16 | 한국씨티은행 | 1588-7000, 02-3704-7700 |
17 | 수협중앙회 | 1588-1515 |
18 | 대구은행 | 1588-5050 |
19 | 광주은행 | 1588-3388, 1600-4000 |
20 | 전북은행 | 1588-4477 |
21 | 기술보증기금 | 1544-1120 |
22 | 우체국 | 1588-1900 |
23 | 새마을금고 | 1588-8801, 1599-9000 |
24 | 현대스위스저축은행 |
1566-2210, 2220, 2230, 2240 (야간) 02-3978-600, 800 |
연번 | 신용카드 회사 | 전화번호 |
---|---|---|
1 | 현대카드 | 1577-6000, 1577-6200 |
2 | 삼성카드 | 1588-8700, 1588-8900 |
3 | 신한카드 | 1544-7000, 1544-7200 |
4 | 비씨카드 | 1588-4000, 1566-4000 |
5 | 우리카드 | 1588-9955, 1599-9955 |
6 | 롯데카드 | 1588-8000, 1588-8300 |
7 | 씨티카드 | 1566-1000 |
8 | 국민카드 | 1588-1688 |
9 | 하나SK카드 | 1599-1155 |
(출처: 경찰청 보도자료)
도대체 어떠한 증상이 나타나며 어떻게 해야 피해를 막고 해당 바이러스/악성코드의 감염에서 안전하게 치료할 수 있을까요? 지난 주 터보백신 고객지원팀에서 진행되었던 사례를 여러분과 함께 공유하며 추가적인 피해가 줄어들고 동일한 형태에 감염되신 분들은 치료에 도움이 되기를 바랍니다.
(문의)
인터넷 연결을 해서 주요 포털 사이트 나 금융권 사이트로 들어가려면 차단창이 뜹니다.
기본적으로 인터넷 뱅킹 등 중요한 업무를 보는 컴퓨터인데 어떻게 해야 하나요?
(답변)
기본적으로 교묘한 피싱 팝업창에 의한 피해가 접수되어 악성 사이트에 대한 접근이 차단된 형태입니다.
기존에 유행하던 피싱 사기 수법이 나날이 발전하고 있으며 현재 사용자 컴퓨터에 바이러스/악성코드가 상주하고 있어 기본적으로 hosts 파일에 대한 변조 및 피싱-파밍 사이트로 위장 연결을 하는 형태가 계속해서 일어나는 것으로 확인되었습니다.
문제를 일으키는 숙주 바이러스 / 악성코드를 치료하지 않으면 계속해서 같은 문제가 발생할 것입니다.
금번에 감염된 상태의 컴퓨터에서는 일반적인 hosts 변조 바이러스 형태보다 더욱 발전된 형태로 일반 hosts 파일보다 먼저 참조하는 hosts.ics 파일도 동시에 변조된 형태로 생성을 하고 해당 변조 hosts 파일들을 삭제하려는 사용자 행동을 다른 프로세스가 막는 복합적인 형태로 되어 있었습니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 의 위치에 비정상적인 파일을 생성할 확률이 높으며 본 사례에서는 호스트 파일 변조 후 C:\WINDOWS\Tasks\conime.exe 라는 온라인 게임핵 형태의 바이러스/악성코드로 활동을 시작하게 됩니다.
윈도우 시스템 파일 시작 시 레지스트리 값에 특정 URL 에서 파밍을 위한 hosts 파일 변경할 내용을 온라인 상에서 다운로드 받아 해당 파일이 삭제되었더라도 숙주 파일에 대한 검출 및 치료가 이루어지지 않은 상태라면 재부팅 시 다시 변조를 일으키게 만듭니다.
이러한 활동 때문에 문의를 주신 기업체 담당자도 업무를 보기 힘든 상황이었습니다.
터보백신 제품군에서는 Trojan.GenericKDV.1124105 이라는 명칭으로 검출하고 있습니다.
터보백신 고객지원팀에서는 해당 바이러스 / 악성코드가 침투되어 있던 요소들을 정리 삭제한 후 시스템 재부팅을 통해 정상적인 상태로 돌아왔는지를 확인하고 추가로 시스템 및 백신 업데이트를 최신으로 하신 후에 시스템 전체에 대한 정밀 검사를 진행해 달라고 고객님께 전달 드렸습니다.
금일 소개해드린 내용 자체가 상당히 교묘하고 지원 및 치료함에 있어서 전문엔지니어의 기술적인 능력을 일정 부분 요구하고 있습니다. 다만, 조금이나마 바이러스 악성코드의 활동을 쉽게 풀어서 설명을 해드리려고 노력했습니다.
차후에 위와 같은 바이러스 / 악성코드에 감염되신 사용자 분들이 발생하시는 경우에 본 포스팅을 기억하신다면 보다 침착하게 대처하실 수 있을 것으로 믿습니다.