본문 바로가기
보안경고 & et cetra

파밍 (Pharming)의 확인 및 그에 대한 조치법 (호스트 파일(hosts) 초기화)

by 글벌레 2013. 4. 9.
반응형

 

 

 

 

혹시라도 은행 사이트에 접속을 했는데 ,

위와 같은 팝업 창이 뜨는 걸 본 적이 있습니까 ?

 

본 적이 있다면 현재 당신의 컴퓨터는 악성코드에 감염이 된 겁니다 .

 

은행 사이트들은 위와 같이 정보를 입력하라고 요구하는 부가적인 팝업 창을 띄우지 않습니다 .

 

인터넷뱅킹에 필요한 정보는 뱅킹 과정 중에 모두 입력이 되는데

뭐 할려고 그 정보들을 다시 입력하게 하는 창을 띄우겠습니까 ?

 

위와 같은 창은 악성코드가 인터넷뱅킹을 하고 있는 사용자의 정보를 빼가려고 띄우는 창인데요 .

 

위와 같은 창에 정보를 입력하면서

창의 지시에 따라가다 보면

거의 실시간으로 계좌에서 돈이 빠져나간다고 보면 맞을 겁니다 .

 

그러므로 저런 창이 뜨면 정보를 입력하면 절대 안 되고 ,

시스템은 악성코드에 감염이 된 상태이므로 인터넷뱅킹도 중지를 하시는 게 좋은데요 .

 

사용자가 정상적인 경로로 접속을 했음에도 위와 같은 창을 띄우는 걸 파밍이라고 합니다 .

 

파밍 창은 인터넷뱅킹 시에만 뜨는 게 아니고

쇼핑몰 같은 곳에서 물건 구매 후 카드 결제 창에서도 뜰 수가 있다고 하니

 

어떠한 경우이든

돈이 왔다 갔다 하는 창에서 뱅킹 또는 신용카드와 관련된 정보를 요구하는 창이 뜬다면

절대로 입력을 하면 안 됩니다 .

 

참조 - 만약 팝업 창이 아닌

          메인 창으로 위와 같은 페이지가 뜨는 경우에도 정보를 입력하면 안 됩니다 .

 

그렇다면 이러한 파밍을 일으키는 악성코드에는 어떻게 대응을 해야 할까요 ?

 

파밍은 현재까지 알려진 바로는 시스템의 호스트 파일을 이용합니다 .

그러므로 호스트 파일을 변조하는 악성코드를 잡고 , 호스트 파일을 초기화 해야 하는데요 .

 

이제 그 방법을 논해 봅니다 .

 

 

 

 

메모장을 실행한 후에 파일 열기 창에서

C:\WINDOWS\system32\drivers\etc 폴더로 가서

파일 형식을 모든 파일로 해주면 위 그림에서처럼 hosts란 게 보이게 되는데요 .

(비스타 , 윈도우 7 그리고 윈도우 8에서는

메모장을 관리자 권한으로 실행을 해야 변경 사항 저장이 가능할 수도 있습니다 .

관리자 권한으로 실행하는 방법은 이 글 하단의 부연 2.를 참조 .)

 

hosts를 열고

 

 

127.0.0.1      localhost 밑에 뭔가 더 적힌 게 있는가를 보십시오 .

 

더 적힌 게 있다면
호스트 파일이 변조가 된 거고 파밍을 위한 악성코드가 감염이 된 경우로

일단 호스트 파일은 손대지 말고 (그냥 닫고)

우선은
사용하고 계시는 백신으로 전체 시스템 정밀 검사를 하고
더불어서
아래 추천 박스 內 글을 참조해 하우스콜로도 검사/치료하시기 바랍니다 .(꼭 하십시오 .)

(하우스콜도 사용을 하는 이유는 백신을 시스템에 설치하고 사용하고 있었던 경우 ,

해당 백신이 호스트 파일을 변조하는 악성코드를 잡지 못했기 때문입니다 .)

 

위 추천 박스 內 글 제목을 클릭 시 윗글이 새 탭 또는 새 창으로 뜹니다


만약 호스트 파일이 변조가 안 되었더라도

위 그림과 같은 창이 떴다면 해당 창은

파밍을 하려는 가짜 은행 팝업 창이란 건 변함이 없습니다 .

다만 , 호스트 파일 변조가 아닌 다른 방법을 통해 창을 띄운 경우입니다 . 


악성코드가 해결이 된 거 같다면
다시
hosts를 열고

 


127.0.0.1      localhost 밑에 적힌 걸 모두 다 지우고 창을 닫습니다 .
창을 닫을 때 변경 사항을 저장하신 후에

다시 hosts 파일에 마우스 대고 우버튼 눌러 뜨는 문맥 메뉴(context-menu)에서
맨 아래 보이는 속성을 택하여 뜨는 창에서


 

 

읽기 전용에 체크를 한 후에 적용을 눌러서
호스트 파일에 대한 일차적 보호를 하시는데

이 방법으로 호스트 파일 변조를 100% 막는다고 장담은 못합니다 .
 
참조 - 만약 변경 사항 저장이 안 된다면 속성이 이미 읽기 전용으로 되어 있지 않나 확인을 해보시고 ,
          만약 그렇다면 읽기 전용에서 체크 해지 후에 변경 사항을 저장하고

          다시 읽기 전용으로 하시기 바랍니다 .

(본문 맨 하단의 박스 - 2013년 9월 5일 목요일에 추가하는 내용까지 꼭 참조바랍니다 .)

 

부연 1.

 

간혹가다가는 호스트 파일을 열었더니 제가 올린 스크린샷과 달리

ip들과 은행 주소들로만 꽉 찬 경우도 있을 겁니다 .

 

그런 경우에는 어찌해야 하나 헤메실지도 모르는데

제가 올린 호스트 파일 스샷들을 보시면 #이 붙은 줄들이 보일 겁니다 .

그런데 이 #은

윈도우에게 #이 붙은 줄은 읽지 말고 무시하라는 명령을 내린 겁니다 .

즉 , #이 붙은 줄들은 주석쯤에 해당할뿐인 거죠 .

 

그러므로 호스트 파일이 ip들과 은행 주소들로만 꽉 찬 경우에는

그 내용을 모두 지우고

127.0.0.1       localhost

딱 위 한줄만 적고 저장을 하셔도 됩니다 .

127.0.0.1localhost간 띄어쓰기는 한 칸만 떼서도 됩니다 .

 

그런데 그리만 하면 뭔가 각이 안 서는 게 허접해서 못쓰겠다는 생각이 드는 분들께서는

 

 
위 추천 박스 內 글 제목을 클릭 시 윗글이 새 탭 또는 새 창으로 뜹니다
 

위 추천 박스 內 글에서 소개한 Comodo KillswitchQuick Repair 기능을 통해

호스트 파일을 초기 상태로 수정하시기 바랍니다 .

 

비스타 , 윈도우 7 또는 윈도우 8에서는

Comodo Killswitch를 관리자 권한으로 실행을 해야 할 수도 있는데 ,

관리자 권한으로 실행하기는 바로 아래 부연 2.를 참조바랍니다 .

메모장이나 Comodo Killswitch나 관리자 권한으로실행하는 방법은 똑같습니다 .

 

부연 2.

 

만약 비스타 , 윈도우 7 또는 윈도우 8에서 호스트 파일을 수정한 후 저장하려 했더니 관리자 권한을

요구할 경우에는

 

 

메모장의 발로가기 ㅠㅜ 아니 바로가기 메뉴에 마우스를 대고

마우스 오른쪽 버튼을 눌러 뜨는 문맥 메뉴에서

관리자 권한으로 실행(A)을 택하고 실행하시면 됩니다 .

 

만약 관리자 권한으로 실행 후 아래와 같은 창이 뜬다면

 

 

예(Y) 버튼을 눌러서 변경 사항을 저장하시기 바랍니다 .

 

제가 아직 윈도우 XP를 사용 중인라 .......윈도우 7 스샷들의 출처는 tody.egloos.com/5143882

 

글은 여기까지입니다 .

이 글에서는 간단하게 파밍을 일으키는 악성코드를 확인하는 방법과 그에 조치법을 알아보았습니다 .

 

 2013 9 5요일에 보충하는 내용입니다 .

 

 파밍 악성코드들이 출현한 초기에는 

 해당 악성코드들은 C:\WINDOWS\system32\drivers\etc 폴더의 hosts 파일만 변조했었습니다 .

 

 그러나 이 악성코드들이 진화하여 이제는 hosts 파일은 그대로 놓아둔 채 ,

 C:\WINDOWS\system32\drivers\etc 폴더에 hosts를 대체하는 파일을 생성하기도 합니다 .

 

 제가 현재까지 질문들을 통하여 얻은 정보로는 hosts를 대체하는 파일들은

 hosts.ics , hosts_tmp 등의 이름으로 생성이 됩니다 .

  

 그러므로 이제는 hosts만 메모장에서 열어 보아서는 안 되고 ,

 C:\WINDOWS\system32\drivers\etc 폴더의 모든 파일들을 메모장으로 열고 살펴보아야 합니다 .

 

 그런데 무엇보다도 중요한 건 파밍을 일으키는 악성코드를 찾는 일입니다 .

 그러므로 악성 호스트 역활을 하는 파일만 삭제 또는 수정했다고 안심해서는 안 됩니다 .

 꼭 백신들을 통한 검사로 파밍을 일으키는 악성코드 본체를 찾아야 합니다 .

 

 그리고 hosts 대체 파일이 꼭 C:\WINDOWS\system32\drivers\etc 폴더에

 생성된다는 법도 없으므로 (다른 위치에도 얼마든지 생성 가능해 보입니다 .) ,

 백신들을 통한 검사로 파밍을 일으키는 악성코드 본체를 찾는 것은 더욱더 중요합니다 !     

 

 주의 ! - hosts는 복구 대상이지만 , hosts.ics , hosts_tmp 등은 삭제 대상입니다 .

             만약 hosts 복구 후 다시 변조가 된다든가 ,

             hosts.ics , hosts_tmp등을 삭제했는데 

             다시 출현한다면 이건 악성코드가 해결이 안 된 겁니다 .

 

반응형

댓글