개인정보유출 2차피해예방 악용 악성코드 (rundll32.exe midimapbits.txt)

반응형

개인정보유출 2차피해예방등록안내를 악용한 악성코드 

 

네이버 등 인터넷 시작페이지에 '개인정보유출 2차피해 예방등록 안내'라는 팝업창을 띄워서 금융감독원 금융민원센터 홈페이지와 거의 유사한 피싱사이트로 유도한 후 개인정보를 빼내가는 일이 발생하고 있다고 합니다. 

 

현재 금융감독원의 금융민원센터 홈페이지를 방문하면 아래와 같은 금융위원회 공지사항을 볼 수 있는데요, 최근 금융민원센터 홈페이지를 가장한 인터넷 피싱사이트가 출현하여 공인인증서 등 개인정보를 수집하려는 사례가 발생하였으니 금융민원센터 이용시 도메인 www.fcsc.kr 을 꼭 확인하라는 안내를 하고 있습니다.

 

rundll32.exe C:Users\user1\

AppData\Local\Temp\

midimapbits.txt Aou....

 

그러면 실제 금융민원센터를 이용한 피싱사이트로 사용자를 어떻게 유도하는지 살펴보도록 하겠습니다. 악성코드에 감염된 컴퓨터에서 인터넷을 열자 홈페이지로 지정된 네이버가 정상적으로 잘 열리고 있습니다.

 

다만, 네이버 화면 중앙에 금융감독원의 개인정보유출 2차피해예방등록 안내라는 팝업창이 떠서 화면을 따라 움직이기 시작합니다. 창이 없어지지도 않고 최소화 할 수도 없기 때문에 이 상태로는 인터넷을 사용할 수 없습니다.

 

 

 

 

네이버나 다음 등 인터넷을 열자마자 위쪽에 보이는 그림과 바로 아래 그림과 유사한 팝업창이 화면을 가리고 있다면 피싱사이트로 유도하는 악성코드에 감염된 것이니 컴퓨터 사용을 중지하시고 악성코드 치료부터 해야 합니다.

 

 

위쪽 그림에서 우리은행을 클릭하니 우리은행 홈페이지가 정상적으로 열리는데 역시 이곳에서도 금융정보유출피해 예방서비스 전면 시행이라는 팝업창이 떠 있고 금융정보유출 2차피해예방서비스에 가입하여 금융피해 전액배상을 청구할 수 있다고 유혹하고 있습니다.

 

 

팝업창에 있는 금융피해예방서비스 가입을 선택하면 아래그림처럼 실제 금융민원센터 게시판으로 이동하고 있습니다. 이것만 봐서는 전혀 개인정보유출을 시도한 피싱사이트라고 의심할 수가 없어보입니다.

 

하지만, 입력 항목을 자세히 보면 성명, 주민등록번호, 휴대폰번호, 결정적으로 공인인증서 비밀번호 입력을 요구하고 있습니다. 다른 것은 몰라도 공인인증서 비밀번호를 이런식으로 입력을 요구해서는 절대 안 되는 일이기 때문에 이것만 봐도 비정상적인 페이지임을 딱 알아채야 합니다.

 

 

아래 그림은 금융민원센터의 정상적인 민원등록신고 입력 페이지입니다. 본인인증 후 연락처와 이메일 주소 등 일부 개인정보를 입력해야 하지만 주민등록번호나 공인인증서 비밀번호 입력창은 보이지 않습니다.

 

컴퓨터 쪽을 살펴보면, 현재 피싱사이트로 유도하는 악성코드에 감염된 컴퓨터에서는 인터넷 창을 열었다 닫으면 꼭 한 번씩 아래 그림처럼 어도비 아크로벳 문서가 열리면서 (unins000.aye)라는 파일을 찾을 수 없다는 오류메시지가 발생하고 있습니다.

 

 

 

또한 윈도우 시작프로그램을 살펴보니 시작항목/ MseUpdata 제조업체/알 수 없음  명령/

 rundll32.exe C:Users\user1\AppData\

Local\Temp\midimapbits.txt Aou....

라는 항목이 2개 나란히 등록돼 있습니다.

 

rundll32.exe midimapbits.txt는 금융정보를 탈취하기 위한 악성코드로 알려져 있습니다. 해당 컴퓨터는 사용이 급해서 따로 치료는 하지 않고 곧바로 포맷을 했기 때문에 파일을 수동으로 삭제가 가능한지, v3나 알약같은 백신으로 치료가 가능한지는 확인하지 못했습니다.

 

치료와 관련된 정보는 네이버나 다음 등 검색창에 (rundll32.exe midimapbits.txt)를 입력하면 해결 방법을 찾아볼 수 있을 것 같습니다.

 

반응형

댓글()