구글 코드 웹 페이지로 유포된 Banki 트로이목마 변형

온라인 뱅킹에 사용되는 개인 금융 정보를 탈취하는 Banki 트로이목마 변형들이 지속적으로 유포되고 있는 것이 금일 새벽 다시 발견되었다.

ASEC에서는 Banki 트로이목마 변형이 유포 중인 사실을 7월 11일과 16일 공개하였으며, 그 유포 방식에 있어서도 7월 11일 취약한 웹 사이트를 통해 웹 브라우저와 자바(JAVA) 취약점을 악용한 형태로 유포되었으며, 7월 16일 공개시에는 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램의 웹 사이트를 통해 유포되었다.

금일 새벽 다시 발견된 Banki 트로이목마 변형은 아래 이미지와 같이 구글(Google)에서 운영하는 구글 코드 웹 페이지를 통해 유포되었다.

ASEC은 구글 시큐리티(Google Security) 팀과 협력으로 현재 Banki 트로이목마 변형이 업로드 되어 있는 해당 구글 코드의 특정 웹 페이지 자체를 삭제한 상태이다.

이번 구글 코드의 특정 웹 페이지를 통해 유포된 Banki 트로이목마 변형은 기존에 발견된 변형들과 유사한 형태로 제작 및 구성 되어 있으며, 아래 이미지와 같은 형태로 동작하게 되어 있다.

금일 새벽 발견된 Banki 트로이 목마 변형은 기존 변형들과 동일하게 RARSfx로 압축되어 있으며, aax.exe (167,310 바이트)이 실행되면 윈도우 시스템 폴더에 다음 파일들을 생성하게 된다.

C:\WINDOWS\system32\WindowsDirectx.exe (180,224 바이트)

C:\WINDOWS\system32\ServiceInstall.exe (61,440 바이트)

그리고 생성된 WindowsDirectx.exe (180,224 바이트)은 일본에 위치한 특정 시스템으로 접속을 시도하게 되며 접속이 성공하게 될 경우에는 RARSfx로 압축된 74.exe (413,304 바이트)를 다운로드 후 실행하게 된다.

다운로드 된 74.exe (413,304 바이트)가 실행되면 윈도우 폴더에 다음 파일들을 생성하게 된다.

C:\WINDOWS\HDSetup.exe (442,368 바이트) 

C:\WINDOWS\CretClient.exe (720,896 바이트)

그리고 CONFIG.INI (29 바이트)에는 홍콩에 위치한 특정 시스템의 IP가 기록되어 있으며, 생성된 HDSetup.exe (442,368 바이트) 는 이를 참조하여 감염된 PC에 존재하는 hosts 파일을 다음과 같이 변경하게 된다.

그러나 금일 새벽에 발견된 변형은 특이하게 안랩의 도메인을 포함하여 탐지 및 발견을 우회하고자 한 점이 특이 사항이라고 볼 수 잇다.

금일 발견된 Banki 트로이 목마 변형들과 관련 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.

Dropper/Win32.Banki

Trojan/Win32.Banki

Trojan/Win32.Scar

해당 Banki 트로이목마 변형이 유포 중인 구글 코드 웹 페이지의 다운로드 수가 300건이 넘는 것으로 미루어 해당 악성코드 제작자는 다른 취약한 웹 페이지와 연동하여 다운로드 가능 하도록 설정한 것으로 추정된다.

그러므로 사용하는 운영체제와 일반 어플리케이션들의 취약점을 제거할 수 잇는 보안 패치 설치와 함께 사용하는 보안 제품을 최신 버전으로 유지하는 것이 중요하다.