개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형 Posted By ASEC , 2012년 7월 11일 ASEC에서는 금일 7월 11일 오전 국내 금융 업체에서 제공하는 온라인 뱅킹에 사용되는 개인 금융 정보의 탈취를 노리는 Banki 트로이목마의 변형을 발견하였다. 이번에 발견된 개인 금융 정보의 탈취를 목적으로한 Banki 트로이 목마의 변형은 기존 다른 변형들과 동일하게 RARSfx 형태로 압축되어 있다. 그리고 해당 파일 내부에는 아래 이미지와 같이 CONFIG.INI (29 바이트), CretClient.exe (704,512 바이트)와 HDSetup.exe (430,080 바이트) 파일 3개를 포함하고 있다. 해당 Banki 트로이목마에 감염되면 해당 RARSfx 파일 내부에 압축되어 있는 파일들을 다음 경로에 생성하게 된다. C:WINDOWSCretClient.exe (704,512 바이트) C:WINDOWSHDSetup.exe (430,080 바이트) 그리고 생성된 HDSetup.exe (430,080 바이트)는 cmd.exe를 실행 백그라운드로 실행 시킨 후 감염된 시스템에 존재하는 hosts 파일에 CONFIG.INI (29 바이트)에 기록되어 있는 특정 IP 주소를 참조하여 다음의 내용으로 덮어 쓰게 된다. cmd /c echo 59.***.***.55 http://www.kbstar.com kbstar.com obank.kbstar.com banking.nonghyup.com banking.shinhan.com http://www.wooribank.com wooribank.com pib.wooribank.com bank.keb.co.kr http://www.keb.co.kr > C:WINDOWSsystem32driversetchosts 아래 이미지와 같이 덮어쓰여진 hosts 파일에는 국내 금융 업체들의…
