Notice
Recent Posts
Recent Comments
위드파트너
파밍(Pharming) 해킹에 관하여... 본문
[참고 - 공지사항]국내 은행 위장 사이트 주의
내용
□ 개요
o 1월 19일, 국내 은행을 위장한 피싱 사이트들이 발견되어 인터넷뱅킹 사용자들의 주의가 요구됨
□ 설명
o 공격자는 악성코드를 통하여 윈도우즈의 hosts 파일에 아래의 내용을 추가하며, 해당 hosts 파일을 통하여 공격자가 구성해 놓은 피싱사이트로 접속을 유도함
- 61.222.186.60 ibn.kbstar.com
- 140.119.210.85 banking.nonghyup.com
- 140.119.210.85 bank.nonghyup.com
o 해당 피싱사이트를 통해 주민등록번호, 계좌번호, 계좌비밀번호, 인증서 비밀번호, 보안카드 번호 등을 유출함
※ 발견된 피싱사이트는 한 화면에 계좌비밀번호, 인증서 비밀번호, 보안카드 번호 등 여러 가지 금융정보를 입력하도록 요구하고 있어 정상사이트와 구분됨
□ 예방책
o 최신의 윈도우즈 보안 패치 적용
- 해당 취약점에 대한 마이크로소프트사의 취약점 패치(MS06-014) 적용
- 보호나라의 PC 자동 보안업데이트 설치
□ 해결 방법
o 개인 PC의 감염 여부를 확인하기 위해서는 hosts 파일의 내용을 확인하고, 감염시 치료하도록 함 (hosts 파일 확인방법 및 수동치료방법 참고)
o 피싱 사고를 예방하기 위해서는 윈도우즈 보안 패치를 철저히 하고, 최신 바이러스 백신을 사용하여 PC를 주기적으로 점검하고, 피싱 메일이나 의심스런 사이트에 개인정보를 제공하지 않아야 함
※ 백신이 설치되어 있지 않은 사용자는 아래의 전용백신을 다운받아 바이러스 검사를 수행하시기 바랍니다.
- 안철수연구소 제공 전용백신(V3) - 뉴테크웨이브 제공 전용백신(바이러스체이서)
※ 전용백신은 본 악성코드를 진단 / 치료하는 기능만 제공되며 예방하는 기능은 제공되지 않습니다.
※ hosts 파일 확인 방법 및 수동치료 방법
o hosts 파일 확인 방법
① 시작 → 실행 → hosts 파일 위치입력 후 확인 클릭
※ Windows XP일 경우 : C:\windows\system32\drivers\etc\hosts
※ Windows 2000/NT일 경우 : C:\WINNT\system32\drivers\etc\hosts
② 연결프로그램 창이 열리면 메모장(Notepad)를 선택하고 확인클릭
③ 은행 홈페이지 주소가 있는지 확인
o 수동치료 방법
① 부팅시 F8을 눌러 안전모드로 부팅
② 윈도우 폴더에 생성되어 있는 악성파일 “SVCH0ST.exe” 삭제
※ 주의 : SVCH0ST.exe의 “0”는 영문자가 아닌 숫자 zero임
※ 운영체제별 윈도우 폴더 :
- Windows NT/2000 ⇒ C:\Winnt\
- Windows XP ⇒ C:\Windows\
③ 악성코드가 생성한 아래 레지스트리 항목 삭제
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load에서
c:\\windows\SVCH0ST.EXE
④ hosts 파일에 삽입된 금융관련 사이트 삭제
61.222.186.60 ibn.kbstar.com
140.119.210.85 banking.nonghyup.com
140.119.210.85 bank.nonghyup.com
※ 운영체제별 hosts 파일 위치
- Windows 2000/NT일 경우 : C:\WINNT\system32\drivers\etc\hosts
- Windows XP일 경우 : C:\windows\system32\drivers\etc\hosts
내용
□ 개요
o 1월 19일, 국내 은행을 위장한 피싱 사이트들이 발견되어 인터넷뱅킹 사용자들의 주의가 요구됨
□ 설명
o 공격자는 악성코드를 통하여 윈도우즈의 hosts 파일에 아래의 내용을 추가하며, 해당 hosts 파일을 통하여 공격자가 구성해 놓은 피싱사이트로 접속을 유도함
- 61.222.186.60 ibn.kbstar.com
- 140.119.210.85 banking.nonghyup.com
- 140.119.210.85 bank.nonghyup.com
o 해당 피싱사이트를 통해 주민등록번호, 계좌번호, 계좌비밀번호, 인증서 비밀번호, 보안카드 번호 등을 유출함
※ 발견된 피싱사이트는 한 화면에 계좌비밀번호, 인증서 비밀번호, 보안카드 번호 등 여러 가지 금융정보를 입력하도록 요구하고 있어 정상사이트와 구분됨
□ 예방책
o 최신의 윈도우즈 보안 패치 적용
- 해당 취약점에 대한 마이크로소프트사의 취약점 패치(MS06-014) 적용
- 보호나라의 PC 자동 보안업데이트 설치
□ 해결 방법
o 개인 PC의 감염 여부를 확인하기 위해서는 hosts 파일의 내용을 확인하고, 감염시 치료하도록 함 (hosts 파일 확인방법 및 수동치료방법 참고)
o 피싱 사고를 예방하기 위해서는 윈도우즈 보안 패치를 철저히 하고, 최신 바이러스 백신을 사용하여 PC를 주기적으로 점검하고, 피싱 메일이나 의심스런 사이트에 개인정보를 제공하지 않아야 함
※ 백신이 설치되어 있지 않은 사용자는 아래의 전용백신을 다운받아 바이러스 검사를 수행하시기 바랍니다.
- 안철수연구소 제공 전용백신(V3) - 뉴테크웨이브 제공 전용백신(바이러스체이서)
※ 전용백신은 본 악성코드를 진단 / 치료하는 기능만 제공되며 예방하는 기능은 제공되지 않습니다.
※ hosts 파일 확인 방법 및 수동치료 방법
o hosts 파일 확인 방법
① 시작 → 실행 → hosts 파일 위치입력 후 확인 클릭
※ Windows XP일 경우 : C:\windows\system32\drivers\etc\hosts
※ Windows 2000/NT일 경우 : C:\WINNT\system32\drivers\etc\hosts
② 연결프로그램 창이 열리면 메모장(Notepad)를 선택하고 확인클릭
③ 은행 홈페이지 주소가 있는지 확인
o 수동치료 방법
① 부팅시 F8을 눌러 안전모드로 부팅
② 윈도우 폴더에 생성되어 있는 악성파일 “SVCH0ST.exe” 삭제
※ 주의 : SVCH0ST.exe의 “0”는 영문자가 아닌 숫자 zero임
※ 운영체제별 윈도우 폴더 :
- Windows NT/2000 ⇒ C:\Winnt\
- Windows XP ⇒ C:\Windows\
③ 악성코드가 생성한 아래 레지스트리 항목 삭제
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load에서
c:\\windows\SVCH0ST.EXE
④ hosts 파일에 삽입된 금융관련 사이트 삭제
61.222.186.60 ibn.kbstar.com
140.119.210.85 banking.nonghyup.com
140.119.210.85 bank.nonghyup.com
※ 운영체제별 hosts 파일 위치
- Windows 2000/NT일 경우 : C:\WINNT\system32\drivers\etc\hosts
- Windows XP일 경우 : C:\windows\system32\drivers\etc\hosts
윈도에서는 Hosts 파일만 텍스트 에디터로 변조해 놓으면, 원하는 사이트로 이동 가능함.
예를 들어서 yahoo.co.kr 아이피가 222.231.19.227 인데...
hosts 파일을 변조하여 111.222.111.222 라는 아이피에 yahoo.co.kr 을 입력해 저장하면,
yahoo.co.kr 을 브라우저에 입력한 유저는 정상적인 아이피가 아닌, 111.222.111.222 아이피로 이동하게 된다는 것입니다.
파밍해킹은 이걸 이용한 것인데...
만을 공격자가 야후와 동일한 페이지를 리프레시 시키면서 레이어 팝업광고를 심어놓으면
야후에 접속한 유저들은 모두 팝업광고를 보게 되겠죠.^^;;
(물론 유저는 야후에서 팝업 광고를 띄운걸로 알겁니다)
피시방에 hosts 파일을 변조해서 자신의 홍보 아이피 대역으로 걸어놓으면 어떻게 될까요??