← 보안센터로 돌아가기

분석정보 · 악성코드 분석 정보

[악성코드 분석] Cribinst.exe (인터넷 뱅킹 파밍)

Cribinst.exe 악성코드 분석 보고서 1. 분석 정보 1.1. 개요 Cribinst.exe 파일은 기타 금융권 악성파일과 동일하게 hosts 파일을 변조하고 인터넷 접속 시 가짜 금융권 사이트로 연결되어 개인정보 입력을 유도한다.다만, 기존의 금융권 악성파일과는 다르게 화면을 캡쳐하여 저장하는 기능이 추가되었다. 1.2. 동작 Cribinst.exe 파일 실행 시 C:\ 하위에 '1b

2015-12-23INCA Security Center

Cribinst.exe 악성코드 분석 보고서


1. 분석 정보


1.1. 개요


Cribinst.exe 파일은 기타 금융권 악성파일과 동일하게 hosts 파일을 변조하고 인터넷 접속 시 가짜 금융권 사이트로 연결되어 개인정보 입력을 유도한다.다만, 기존의 금융권 악성파일과는 다르게 화면을 캡쳐하여 저장하는 기능이 추가되었다.





1.2. 동작


Cribinst.exe 파일 실행 시 C:\ 하위에 '1b'이란 파일을 생성한다. 확장자가 없는 '1b' 파일은 .bmp파일 포맷을 가지며. 해당 파일을 확인하면 악성코드에 의해 PC 실행화면 중 일부가 캡처된 이미지 파일임을 알 수 있다.




[그림] 악성코드에 의해 캡처된 PC 실행화면






또한, C:\windows\system32\drivers\etc\hosts, hosts.ics 파일을 변조/생성하고 해당파일 및 자기자신의 속성을 숨김으로 변경한다.



112.***.***.189 www.naver.kr 37719

112.***.***.189 www.naver.com 14348

112.***.***.189 www.gmarket.com 33008

112.***.***.189 www.nate.com 35436

112.***.***.189 www.daum.net 29235

112.***.***.189 www.hanmail.net 23192

112.***.***.189 www.11st.com 20835

112.***.***.189 www.auction.com 27534

112.***.***.189 www.11st.co.kr 20136

112.***.***.189 www.zum.co.kr 39815

112.***.***.189 www.coupang.com 39041

112.***.***.189 www.coupang.co.kr 28081

112.***.***.189 www.kbstar.com 13840

112.***.***.189 www.shinhan.com 27474

112.***.***.189 www.ibk.co.kr 30154

112.***.***.189 www.wooribank.com 21812

112.***.***.189 www.keb.co.kr 37884

112.***.***.189 www.hanabank.com 30680

--- 이하 생략

112.***.***.189 www.kbstar.com.pc 30946

112.***.***.189 www.nonghyup.com.pc 15935

112.***.***.189 www.shinhan.com.pc 11981

112.***.***.189 www.ibk.co.kr.pc 38113

112.***.***.189 www.wooribank.com.pc 34739

112.***.***.189 www.keb.co.kr.pc 17570

112.***.***.189 www.hanabank.com.pc 25484

112.***.***.189 www.kfcc.co.kr.pc 18147

112.***.***.189 www.epostbank.go.kr.pc 28003

112.***.***.189 www.citibank.co.kr.pc 15007

112.***.***.189 www.standardchartered.co.kr.pc 13495

112.***.***.189 www.kdb.co.kr.pc 26867

112.***.***.189 www.busanbank.co.kr.pc 30240

112.***.***.189 www.dgb.co.kr.pc 29405

112.***.***.189 www.kjbank.com.pc 22326

112.***.***.189 www.knbank.co.kr.pc 35908

112.***.***.189 www.suhyup-bank.com.pc 39342

112.***.***.189 www.cu.co.kr.pc 26680

--- 이하 생략

[] 변조된 hosts, hosts.ics 파일 내용






변조된 내용에 따라 사용자가 포털 사이트, 쇼핑몰 사이트, 은행권 사이트에 접속을 시도 할 경우 가짜 페이지로 연결된다.

가짜 페이지는 진짜인 것처럼 위장하고 있으나, 실제 포털 사이트의 화면을 캡쳐한 이미지를 사용하여 생성한 페이지로 금융감독원 팝업창 외에는 클릭이 되지 않는다.



[그림] 가짜 포털 사이트






팝업창의 은행 로고를 선택하면 가짜 금융권 사이트로 연결되며, 모든 메뉴 선택 시 보다 안전한 서비스 이용을 위하여 추가 인증이 필요합니다팝업과 함께 전자금융사기예방서비스 페이지로 연결된다. 해당 페이지에서는 사용자의 이름, 주민번호, 계좌 관련 정보, 보안카드 정보 등 개인정보의 입력을 유도한다.

사용자의 시작 페이지 옵션을 특정 포털사이트로 변경하여 사용자가 인터넷 접속 시 가짜 사이트로 접속되도록 하며, 레지스트리에 등록하여 윈도우 재시작 시마다 자동실행 된다.




[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="www.n****.com"

[] 시작페이지 변경 레지스트리



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"fBpj7595"="C:\\Documents and Settings\\Administrator\\바탕 화면\\Cribinst.exe"

[] 자동 실행 레지스트리





2. 결론


Cribinst.exe 는 대체로 기존의 금융권 악성파일과 유사한 동작을 한다. 다만, 동작화면을 캡처하여 저장하는 기능이 추가되어 추가적인 정보유출의 우려가 있어 주의가 필요하다.

Cribinst.exe 는 잉카인터넷 보안솔루션 nProtect Anti-Virus/Spyware 로 진단 및 치료가 가능하다.



[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면




[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면