시스템 하위 폴더에 비정상적인 폴더 생성...악성파일 제거/대응 방해

[보안뉴스 호애진] 잉카인터넷(대표 주영흠)은 시스템을 파괴하는 기능이 추가된 국내 인터넷 뱅킹 이용자를 노린 악성파일(KRBanker)의 변종을 다수 발견했고, 이를 원천 차단하는 전용백신을 개발해 www.nprotect.com을 통해 무료로 배포한다고 28일 밝혔다.

잉카인터넷은 27일 23시경 국내 인터넷 뱅킹용 악성파일이 파괴기능을 탑재함에 따라 보안경보단계 중 최고단계인 ‘위험’을 발령했다.

이번에 발견된 악성파일의 분석결과 시스템 하위 폴더에 윈도우에서 지원하지 않는 비정상적인 폴더를 생성해 일반 사용자가 쉽게 접근하지 못하도록 해 악성파일 제거 및 대응을 방해하며, 특정시점이 되면 시스템을 파괴하는 기능을 추가해서 자신의 흔적을 제거하려는 시도를 한다.

또한 시스템 날짜가 2013년 01월 15일 이후가 되면 C드라이브 루트폴더에 fmatme.bat 파일을 생성하고 실행시켜 시스템 폴더의 중요 파일들을 삭제시킨다.

변종에 따라서 2012년 12월 4일, 12월 6일, 12월 17일, 12월 25일, 12월 26일 이후 파괴기능이 작동된 악성파일도 다수 확인된 상태이며, 이미 부팅불가 피해를 입은 사용자가 있을 것으로 예상되고 있는 만큼 각별한 주의가 필요한 상황이다

배치파일 명령이 작동되면 시스템 파일들이 다수 삭제돼 정상적인 부팅이 불가능하게 되며, 시스템 파일이 손상돼 부팅이 정상적으로 진행되지 않을 경우 보유하고 있는 윈도우OS(부팅) CD 나 복구CD 등을 이용해서 시스템 파일을 복원해야 정상적인 시스템 사용이 가능해 진다.

해당 악성파일은 국내 유명 인터넷 뱅킹 사이트에 접속 시 정상적인 사이트와 동일한 화면이 보이지만 실제로는 피싱사이트의 IP주소로 접속돼 개인 금융정보 유출 가능성마저 우려되고 있어 사용자들의 각별한 주의가 요구된다.

잉카인터넷 ISARC 대응팀 문종현 팀장은 “국내 인터넷 뱅킹용(KRBanker) 악성파일 변종이 꾸준히 증가하고 있고, 기법도 점차 다변화되고 있는 추세”라며, “제작자들이 악성파일의 은폐와 함께 이제는 사용자의 시스템까지 파괴하려는 시도를 하고 있다는 점에서 악성파일 유입을 사전에 차단하는 것이 매우 중요해지고 있다”고 강조했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>