회원가입 로그인
국내 은행 위장 사이트 주의
  2007.01.22
  6,374
□ 개요
o 1월 19일, 국내 은행을 위장한 피싱 사이트들이 발견되어 인터넷뱅킹 사용자들의 주의가 요구됨

□ 설명
o 공격자는 악성코드를 통하여 윈도우즈의 hosts 파일에 아래의 내용을 추가하며, 해당
hosts 파일을 통하여 공격자가 구성해 놓은 피싱사이트로 접속을 유도함
- 61.222.186.60 ibn.kbstar.com
- 140.119.210.85 banking.nonghyup.com
- 140.119.210.85 bank.nonghyup.com

o 해당 피싱사이트를 통해 주민등록번호, 계좌번호, 계좌비밀번호, 인증서 비밀번호, 보안카드 번호
등을 유출함
※ 발견된 피싱사이트는 한 화면에 계좌비밀번호, 인증서 비밀번호, 보안카드 번호 등 여러 가지
금융정보를 입력하도록 요구하고 있어 정상사이트와 구분됨

□ 예방책

o 최신의 윈도우즈 보안 패치 적용

- 해당 취약점에 대한 마이크로소프트사의 취약점 패치(MS06-014) 적용

- 보호나라의 PC 자동 보안업데이트 설치


□ 해결 방법

o 개인 PC의 감염 여부를 확인하기 위해서는 hosts 파일의 내용을 확인하고, 감염시 치료하도록 함
(hosts 파일 확인방법 및 수동치료방법 참고)

o 피싱 사고를 예방하기 위해서는 윈도우즈 보안 패치를 철저히 하고, 최신 바이러스 백신을
사용하여 PC를 주기적으로 점검하고, 피싱 메일이나 의심스런 사이트에 개인정보를 제공하지
않아야 함

※ 백신이 설치되어 있지 않은 사용자는 아래의 전용백신을 다운받아 바이러스 검사를
수행하시기 바랍니다.

- 안철수연구소 제공 전용백신(V3) - 뉴테크웨이브 제공 전용백신(바이러스체이서)
※ 전용백신은 본 악성코드를 진단 / 치료하는 기능만 제공되며 예방하는 기능은
제공되지 않습니다.

※ hosts 파일 확인 방법 및 수동치료 방법

o hosts 파일 확인 방법

① 시작 → 실행 → hosts 파일 위치입력 후 확인 클릭
※ Windows XP일 경우 : C:\windows\system32\drivers\etc\hosts
※ Windows 2000/NT일 경우 : C:\WINNT\system32\drivers\etc\hosts



② 연결프로그램 창이 열리면 메모장(Notepad)를 선택하고 확인클릭



③ 은행 홈페이지 주소가 있는지 확인



o 수동치료 방법

① 부팅시 F8을 눌러 안전모드로 부팅

② 윈도우 폴더에 생성되어 있는 악성파일 “SVCH0ST.exe” 삭제
※ 주의 : SVCH0ST.exe의 “0”는 영문자가 아닌 숫자 zero임
※ 운영체제별 윈도우 폴더 :
- Windows NT/2000 ⇒ C:\Winnt\
- Windows XP ⇒ C:\Windows\

③ 악성코드가 생성한 아래 레지스트리 항목 삭제
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load에서
c:\\windows\SVCH0ST.EXE

④ hosts 파일에 삽입된 금융관련 사이트 삭제
61.222.186.60 ibn.kbstar.com
140.119.210.85 banking.nonghyup.com
140.119.210.85 bank.nonghyup.com
※ 운영체제별 hosts 파일 위치
- Windows 2000/NT일 경우 : C:\WINNT\system32\drivers\etc\hosts
- Windows XP일 경우 : C:\windows\system32\drivers\etc\hosts


< 출처 : 한국정보보호진흥원 인터넷침해사고대응지원센터 >