혹시라도 은행 사이트에 접속을 했는데 ,

위와 같은 팝업 창이 뜨는 걸 본 적이 있습니까 ?

 

본 적이 있다면 현재 당신의 컴퓨터는 악성코드에 감염이 된 겁니다 .

 

은행 사이트들은 위와 같이 정보를 입력하라고 요구하는 부가적인 팝업 창을 띄우지 않습니다 .

 

인터넷뱅킹에 필요한 정보는 뱅킹 과정 중에 모두 입력이 되는데

뭐 할려고 그 정보들을 다시 입력하게 하는 창을 띄우겠습니까 ?

 

위와 같은 창은 악성코드가 인터넷뱅킹을 하고 있는 사용자의 정보를 빼가려고 띄우는 창인데요 .

 

위와 같은 창에 정보를 입력하면서

창의 지시에 따라가다 보면

거의 실시간으로 계좌에서 돈이 빠져나간다고 보면 맞을 겁니다 .

 

그러므로 저런 창이 뜨면 정보를 입력하면 절대 안 되고 ,

시스템은 악성코드에 감염이 된 상태이므로 인터넷뱅킹도 중지를 하시는 게 좋은데요 .

 

사용자가 정상적인 경로로 접속을 했음에도 위와 같은 창을 띄우는 걸 파밍이라고 합니다 .

 

파밍 창은 인터넷뱅킹 시에만 뜨는 게 아니고

쇼핑몰 같은 곳에서 물건 구매 후 카드 결제 창에서도 뜰 수가 있다고 하니

 

어떠한 경우이든

돈이 왔다 갔다 하는 창에서 뱅킹 또는 신용카드와 관련된 정보를 요구하는 창이 뜬다면

절대로 입력을 하면 안 됩니다 .

 

참조 - 만약 팝업 창이 아닌

          메인 창으로 위와 같은 페이지가 뜨는 경우에도 정보를 입력하면 안 됩니다 .

 

그렇다면 이러한 파밍을 일으키는 악성코드에는 어떻게 대응을 해야 할까요 ?

 

파밍은 현재까지 알려진 바로는 시스템의 호스트 파일을 이용합니다 .

그러므로 호스트 파일을 변조하는 악성코드를 잡고 , 호스트 파일을 초기화 해야 하는데요 .

 

이제 그 방법을 논해 봅니다 .

 

 

 

 

메모장을 실행한 후에 파일 열기 창에서

C:\WINDOWS\system32\drivers\etc 폴더로 가서

파일 형식을 모든 파일로 해주면 위 그림에서처럼 hosts란 게 보이게 되는데요 .

(비스타 , 윈도우 7 그리고 윈도우 8에서는

메모장을 관리자 권한으로 실행을 해야 변경 사항 저장이 가능할 수도 있습니다 .

관리자 권한으로 실행하는 방법은 이 글 하단의 부연 2.를 참조 .)

 

hosts를 열고

 

 

127.0.0.1      localhost 밑에 뭔가 더 적힌 게 있는가를 보십시오 .

 

더 적힌 게 있다면
호스트 파일이 변조가 된 거고 파밍을 위한 악성코드가 감염이 된 경우로

일단 호스트 파일은 손대지 말고 (그냥 닫고)

우선은
사용하고 계시는 백신으로 전체 시스템 정밀 검사를 하고
더불어서
아래 추천 박스 內 글을 참조해 하우스콜로도 검사/치료하시기 바랍니다 .(꼭 하십시오 .)

(하우스콜도 사용을 하는 이유는 백신을 시스템에 설치하고 사용하고 있었던 경우 ,

해당 백신이 호스트 파일을 변조하는 악성코드를 잡지 못했기 때문입니다 .)

 

위 추천 박스 內 글 제목을 클릭 시 윗글이 새 탭 또는 새 창으로 뜹니다


만약 호스트 파일이 변조가 안 되었더라도

위 그림과 같은 창이 떴다면 해당 창은

파밍을 하려는 가짜 은행 팝업 창이란 건 변함이 없습니다 .

다만 , 호스트 파일 변조가 아닌 다른 방법을 통해 창을 띄운 경우입니다 . 


악성코드가 해결이 된 거 같다면
다시
hosts를 열고

 


127.0.0.1      localhost 밑에 적힌 걸 모두 다 지우고 창을 닫습니다 .
창을 닫을 때 변경 사항을 저장하신 후에

다시 hosts 파일에 마우스 대고 우버튼 눌러 뜨는 문맥 메뉴(context-menu)에서
맨 아래 보이는 속성을 택하여 뜨는 창에서


 

 

읽기 전용에 체크를 한 후에 적용을 눌러서
호스트 파일에 대한 일차적 보호를 하시는데

이 방법으로 호스트 파일 변조를 100% 막는다고 장담은 못합니다 .
 
참조 - 만약 변경 사항 저장이 안 된다면 속성이 이미 읽기 전용으로 되어 있지 않나 확인을 해보시고 ,
          만약 그렇다면 읽기 전용에서 체크 해지 후에 변경 사항을 저장하고

          다시 읽기 전용으로 하시기 바랍니다 .

(본문 맨 하단의 박스 - 2013년 9월 5일 목요일에 추가하는 내용까지 꼭 참조바랍니다 .)

 

부연 1.

 

간혹가다가는 호스트 파일을 열었더니 제가 올린 스크린샷과 달리

ip들과 은행 주소들로만 꽉 찬 경우도 있을 겁니다 .

 

그런 경우에는 어찌해야 하나 헤메실지도 모르는데

제가 올린 호스트 파일 스샷들을 보시면 #이 붙은 줄들이 보일 겁니다 .

그런데 이 #은

윈도우에게 #이 붙은 줄은 읽지 말고 무시하라는 명령을 내린 겁니다 .

즉 , #이 붙은 줄들은 주석쯤에 해당할뿐인 거죠 .

 

그러므로 호스트 파일이 ip들과 은행 주소들로만 꽉 찬 경우에는

그 내용을 모두 지우고

127.0.0.1       localhost

딱 위 한줄만 적고 저장을 하셔도 됩니다 .

127.0.0.1localhost간 띄어쓰기는 한 칸만 떼서도 됩니다 .

 

그런데 그리만 하면 뭔가 각이 안 서는 게 허접해서 못쓰겠다는 생각이 드는 분들께서는

 

 
위 추천 박스 內 글 제목을 클릭 시 윗글이 새 탭 또는 새 창으로 뜹니다
 

위 추천 박스 內 글에서 소개한 Comodo KillswitchQuick Repair 기능을 통해

호스트 파일을 초기 상태로 수정하시기 바랍니다 .

 

비스타 , 윈도우 7 또는 윈도우 8에서는

Comodo Killswitch를 관리자 권한으로 실행을 해야 할 수도 있는데 ,

관리자 권한으로 실행하기는 바로 아래 부연 2.를 참조바랍니다 .

메모장이나 Comodo Killswitch나 관리자 권한으로실행하는 방법은 똑같습니다 .

 

부연 2.

 

만약 비스타 , 윈도우 7 또는 윈도우 8에서 호스트 파일을 수정한 후 저장하려 했더니 관리자 권한을

요구할 경우에는

 

 

메모장의 발로가기 ㅠㅜ 아니 바로가기 메뉴에 마우스를 대고

마우스 오른쪽 버튼을 눌러 뜨는 문맥 메뉴에서

관리자 권한으로 실행(A)을 택하고 실행하시면 됩니다 .

 

만약 관리자 권한으로 실행 후 아래와 같은 창이 뜬다면

 

 

예(Y) 버튼을 눌러서 변경 사항을 저장하시기 바랍니다 .

 

제가 아직 윈도우 XP를 사용 중인라 .......윈도우 7 스샷들의 출처는 tody.egloos.com/5143882

 

글은 여기까지입니다 .

이 글에서는 간단하게 파밍을 일으키는 악성코드를 확인하는 방법과 그에 조치법을 알아보았습니다 .

 

 2013 9 5요일에 보충하는 내용입니다 .

 

 파밍 악성코드들이 출현한 초기에는 

 해당 악성코드들은 C:\WINDOWS\system32\drivers\etc 폴더의 hosts 파일만 변조했었습니다 .

 

 그러나 이 악성코드들이 진화하여 이제는 hosts 파일은 그대로 놓아둔 채 ,

 C:\WINDOWS\system32\drivers\etc 폴더에 hosts를 대체하는 파일을 생성하기도 합니다 .

 

 제가 현재까지 질문들을 통하여 얻은 정보로는 hosts를 대체하는 파일들은

 hosts.ics , hosts_tmp 등의 이름으로 생성이 됩니다 .

  

 그러므로 이제는 hosts만 메모장에서 열어 보아서는 안 되고 ,

 C:\WINDOWS\system32\drivers\etc 폴더의 모든 파일들을 메모장으로 열고 살펴보아야 합니다 .

 

 그런데 무엇보다도 중요한 건 파밍을 일으키는 악성코드를 찾는 일입니다 .

 그러므로 악성 호스트 역활을 하는 파일만 삭제 또는 수정했다고 안심해서는 안 됩니다 .

 꼭 백신들을 통한 검사로 파밍을 일으키는 악성코드 본체를 찾아야 합니다 .

 

 그리고 hosts 대체 파일이 꼭 C:\WINDOWS\system32\drivers\etc 폴더에

 생성된다는 법도 없으므로 (다른 위치에도 얼마든지 생성 가능해 보입니다 .) ,

 백신들을 통한 검사로 파밍을 일으키는 악성코드 본체를 찾는 것은 더욱더 중요합니다 !     

 

 주의 ! - hosts는 복구 대상이지만 , hosts.ics , hosts_tmp 등은 삭제 대상입니다 .

             만약 hosts 복구 후 다시 변조가 된다든가 ,

             hosts.ics , hosts_tmp등을 삭제했는데 

             다시 출현한다면 이건 악성코드가 해결이 안 된 겁니다 .

 

 

글벌레의 블로그에서 윗글과 관련된 글벌레의 다른 글 또는 원하시는 내용을 찾아보세요 .
(컴퓨터 관련 또는 기타 검색 시는 키워드 검색을 하세요 . 예 - 프로세스 익스플로러)
(TV 드라마 또는 영화 관련 검색 시는 드라마/영화 제목으로 검색하시면 됩니다.)

검색 예시 - 예를 들어 구가의 서라고 검색하시면
구가의 서와 관련된 글벌레의 모든 리뷰들을 보실 수 있습니다.

 
 
Posted by 글벌레

트랙백 주소 :: http://devotionnoath.tistory.com/trackback/1091 관련글 쓰기

  1. Subject: 파밍(Pharming,ファーミング)으로 인한 호스트 파일 변조 확인과 조치방법

    Tracked from 꿈을꾸는 파랑새 2013.05.30 13:30  삭제

    지난 시간에 파밍에 대한 글을 적어보았습니다. 오늘은 파밍(Pharming,ファーミング)으로 인한 호스트 파일 변조 확인과 조치방법에 대해 알아보는 시간을 가져 보겠습니다. 기본적으로 파밍에 ..

댓글을 달아 주세요

  1. 이전 댓글 더보기
  2. 인홍 2014.04.27 17:29  댓글주소  수정/삭제  댓글쓰기

    안녕하세요ㅜㅜ글 정말정말 도움됬습니다!
    얼마전 파밍바이러스가 들어와 네이버와서요.
    다음을 누르면 위의 은행 팝업같은게 뜨고 진짜 네이버나 다음 사이트엔 들어가지도 못해 어찌하나 고민하던중 이 블로그 포스팅을 보고 침착하게 잘 해결 했습니다..
    저는 hosts_imp 이런파일은 안전모드에서 전부 삭제하고
    진짜 hosts 파일을 다운해 덮어씌우기를 하는 방식으로 바이러스를 없앴습니다.

    그런데 이번에는 은행 팝업이 뜨지는 않는데 다음과 네이버를 들어가려 하면 인터넷 연결이 끊겼을때 나오는 창 있잖아요? 그것만 뜨고 네이버나 다음은 들어갈 수도 없게 되었습니다. 위의 주소창에 검색어를 쓰면 Bing..? 이라는 포털사이트에서 네이버나 다음같은 포털사이트의 관련글로 연결을 해줘서 인터넷 사용에는 대부분 전보다는 지장이 없어졌습니다만, 즐겨쓰던 포털사이트의 메인페이지에만 딱 접속을 못하니 불편한점도 확실히 많더군요.

    이런상황엔 어떻게 해야 하나요?
    참고로 전 윈도우 xp예요!

    -요약) 호스트파일은 전부 회복했는데 팝업창이 뜨던 다음과 네이버 포털사이트 메인페이지를 들어가려하면 인터넷 연결이 끊긴것같은 창이 뜨고 연결이 안됨.

    (주소창에 검색어를 써서 위의 포털사이트의 글을 보는건 가능. 오직 그 포털사이트의 메인페이지만 접속이 안되는것.)

  3. 나그네 2014.05.13 01:21  댓글주소  수정/삭제  댓글쓰기

    글벌레님 감사합니다
    호스트파일은 해결됐고 더이상 팝업창은 안뜨는데
    v3로 검사했을때 악성코드가 검색이 안나오더라고요..
    뭐..괜찮겠죠 덕분에 좋은 정보 알아갑니다

  4. 김재호 2014.05.14 15:59  댓글주소  수정/삭제  댓글쓰기

    오 진짜 감사합니다.

    kisa 홈페이지 가서 따라해보고 악성코드 잡고 별 짓 다해도 안됐는데 이글 보고 따라하니까 해결됐습니다.

    너무 감사합니다.

  5. 이예성 2014.05.18 16:25  댓글주소  수정/삭제  댓글쓰기

    hosts파일 드가려고 하니까 올바른 win32응용프로그램이 아니래요 ㅜㅜㅜ

  6. 나그네 2014.05.21 19:31  댓글주소  수정/삭제  댓글쓰기

    분명 처리했는데..다시 또 떴어요 ..젠장...

  7. 2014.07.05 15:37  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  8. 나그네2 2014.10.13 13:39  댓글주소  수정/삭제  댓글쓰기

    진정 감사합니다.
    진짜 난감..내가 뭐 어쨌다고!!!! 이랬는데(사실 좀 돌아 댕김..)ㅋㅋㅋ
    이제 되요.
    다음에는 안뜨면 좋겠어요. 제발~~

  9. 2014.11.03 00:35  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  10. 검색하다방문 2014.11.29 16:00  댓글주소  수정/삭제  댓글쓰기

    파밍을 달고사는 초보입니다 ㅠ 예전에도 걸렸었는데,포맷해버리고 해결됐다!했더니
    또다시 보게되었네요..금융결제원 어쩌고..
    검색검색하다가 여기까지 오게되서 갈쳐주신 호스트 쓸데없는 파일들 삭제하고,
    메모장으로 열어, 아이피주소와 홈페이지 주소들을 몽땅 삭제하니,
    네이버가 이쁘게 열리네요 ㅋㅋㅋ 감사합니다~.
    이것때문인지 백신을 깔아도 치료하다가 백신파일 자체가 삭제되고했는데,
    잘될것같네요. 지금은 하우스콜로 치료하며 댓글작성중입니다.
    잘 좀 치료됐으면 좋겠어요 ㅠ 즐찾하고갑니다~ㅎ

  11. 구글검색님 2014.11.30 11:01  댓글주소  수정/삭제  댓글쓰기

    와 진짜 감사합니다 댓글 같은거 잘안하는대 ..ㅇㅅㅇ.,..님정말 대단하신거같아요 ㅠㅠ 저 정말 호스터 저거때문에 4일동안 아무것도 못했는대 ..ㅜㅠ 감사합니다 좋은글 많이 올려주셔서 감사합니다 ㅎ

  12. 덕분에 2015.01.19 22:36  댓글주소  수정/삭제  댓글쓰기

    금융감독원 보안관련 인증절차 .. 어쩌구 하는 팝업창이 떠 깜짝놀랐는데
    아무런 방법을 동원해도 해결되지 않던 중
    다음 팁에 어느분 질문에 "나만큼만 답변해봐" 님께서 주신 해결방법을 보고
    하우스콜로 얼추 7시간 넘게 결려 정밀검사해서 겨우 잡았어요.

    그런데 그 페이지에 호스트초기화 설명이 제 똥컴과 달라서 잘 이해하지 못해
    방법을 검색하다 보니 이렇게 블로그까지 오게 되었는데 블로그에서 설명한 내용에
    이해가 되어 모두 잘 해결했답니다.
    덕분에 앓던이가 빠진듯 시원하게 악성코드 해결했어요.

    나만큼만 답변해봐, 글벌레님!
    지식 나눠주셔서 감사합니다.
    덕분에 저 같은 컴맹도 악성바이러스를 혼자 해결할 수 있게 되어 완전 감사합니다~~

    복 많이 받으세요~~~

  13. 감사 2015.01.24 16:58  댓글주소  수정/삭제  댓글쓰기

    자세하고 친절한 설명 감사합니다.
    게다가 최신 정보까지 업데이트 해주시고 글벌레님의 블로그에서 파밍과 시스템 부팅시 초기 에러 팝업에 대한 많은 지식을 알고갑니다.

  14. 감가감사 2015.02.15 22:32  댓글주소  수정/삭제  댓글쓰기

    진짜 감사합니다 ㅠㅠㅠ
    댓글진짜 한번도 안달았는데 너무 감사해서 달아요 ㅠㅠㅠㅠㅠ

  15. 감가감사 2015.02.15 22:32  댓글주소  수정/삭제  댓글쓰기

    진짜 감사합니다 ㅠㅠㅠ
    댓글진짜 한번도 안달았는데 너무 감사해서 달아요 ㅠㅠㅠㅠㅠ

  16. 감가감사 2015.02.15 22:32  댓글주소  수정/삭제  댓글쓰기

    진짜 감사합니다 ㅠㅠㅠ
    댓글진짜 한번도 안달았는데 너무 감사해서 달아요 ㅠㅠㅠㅠㅠ

  17. CHE 2015.02.21 00:14  댓글주소  수정/삭제  댓글쓰기

    추천 박스가 어디 있다는 거죠?
    안보이네요

  18. dudydudy 2015.03.22 21:36  댓글주소  수정/삭제  댓글쓰기

    글벌레님 덕분에 악성코드가 해결됐습니다.
    정말 난감했는데 완전 감사해요!!^^

  19. 미치기일보전 2015.03.28 07:19  댓글주소  수정/삭제  댓글쓰기

    하이스콜 페이지 들어가서 받을려니까 주소창 자체가 안뜨는건 어떻게 해야 됩니까?
    티스토리는 들어와지는데 네이버 메일이나 하우스콜 홈페이지 같은건 무조건 503 오류가 뜨는데 네이버나 알약에는 바이러스가 잡히지 않고.. 이런경우는 어떡해야 되나요..?

  20. 최한샘 2015.03.29 17:37  댓글주소  수정/삭제  댓글쓰기

    15/03/29 10:30
    hosts tmp 파일을 삭제하였습니다.
    익스플로러 상 에러페이지는 뜨지 않으며 정상작동 합니다.
    15/03/29 10:50
    503 에러페이지가 재발하여 확인하니 hosts tmp 파일이 재생성 되어있어 재삭제 하였습니다.
    사용중인 V3로는 해당 악성코드가 안잡힙니다.
    15/03/29 12:50
    하우스콜로도 악성코드가 발견되지 않습니다.
    2시간 소요, 악성코드는 발견하지 못하고 에러는 여전히 발생합니다..

  21. 흔한 사람인간 2015.04.07 08:33  댓글주소  수정/삭제  댓글쓰기

    그게 바이러스 백신도 내려받고 그랬는데 호스트바이러스가
    치료가안되네요 알약으로도 안 치료되고 호스트 파일 안건드렸는데
    갑자기 유튜브 , 티스토리 , 네이버 등
    다른 사이트가 웹페이지를 표시할수없다 뜨고
    계속 은행은 뜨는데 어떻게 해야하나요



티스토리 툴바