파밍 악성코드

네이버 광고배너를 이용한 파밍코드라는 기사를 접했다
국내 저명한 사이트들 다수가 변조되어 관련 코드를 쉽게 구할수 있었다
입수한 코드는 일부 파일만 존재했지만 최종파일을 얻을수 있었다

 

CK EK 구조도를 그려보면 아래와 같다

 

 

 

 

입수한 플래시 파일안의 쉘코드를 통해 최종파일을 확인할 수 있었다

 

 

 

 

XOR 0E2

복호화 진행

 

 

 

 

908.jpg 최종 파일을 만날수 있다

 

 

 

 

908.jpg 는 XOR 70 으로 코드를 변환하면 MZ 구조로 변한다

908.exe 확인

 

 

 

 

 

언패킹 후 코드를 살펴보니 다음 위치에 파일 생성을 확인했다

Local Settings\Temp\9C.tmp\육6.bat

 

 

 

66.bat 파일의 역할은 hosts.ics 파일을 생성하여 파밍사이트를 저장한다

 

 

 

 

실제 생성된 hosts.ics

 

 

 

 

 

네이버, 다음 사이트를 들어가면 광고배너를 확인할 수 있다
알고보면 광고배너 사이즈가 이상하지만 모르고 본다면 전혀 예상하지 못할것으로 생각된다
그리고 시간을 자세히 보면 오늘을 8일 일요일인데 네이버는 7일 토요일 임을 알리고 있다

 

 

 

 

즉, 이 메인페이지는 가짜라는 말씀!!
가짜 페이지에서 동작하는 가짜 농협 배너 확인

 

 

 

기존과 다르게 오타도 없고 아주 견고하게 만들어져 있다
마지막에 핸드폰번호로 코드를 요청하는 행위는 훼이크인거 같다
궁금한점은 아래 정보만으로도 이체가 가능한가?

 

 

 

 

 

패킷으로 살펴본 개인정보 유출화면

 

 

 

 

피싱&파밍 코드는 점점 다양해지고 있으며,
작년 초 어설프게 쏟아지던 피싱사이트와는 차원이 다르게 진화하고 있다

 

 

- 13.09.08 어느날 -