본문 바로가기
IT 보안소식

클릭원스(ClickOnce), 닷넷기반 클릭원스 배포방식을 이용한 인터넷뱅킹 파밍 악성코드 주의

by 잡다한 처리 2014. 7. 1.
반응형




최근 클릭원스라는 배포방식을 이용하여 인터넷뱅킹(KRBanker) 파밍 악성코드가 확인되었다.


- 클릭원스(ClickOnce) 배포방식이란?

클릭원스는 기존 웹 기반 환경에서 엑티브엑스(ActiveX) 방식처럼 웹에서 프로그램을 설치할 수 있도록 도와주는 기능이며,Microsoft .NET Framework 기반에서만 동작한다.



이미 많은 사이트 및 블로그에서 해당 내용을 다루었기 때문에 자세한 설명은 하지 않고 기록용 포스팅으로 작성한다.





□ 클릭원스(ClickOnce) 배포방식 악성코드  관련 내용




※ 모든 스크린샷에 포함 된 URL은 모자이크 처리 되었음


















해당 배포방식을 통해 다운로드 된 Tmb.exe 파일은 

특정 서버(http://statistical.duapp.com/api.php)로 사용자의 버전, MAC주소, 랜카드, IP주소, 컴퓨터이름 등을 전송한다

또한 감염 PC에서 공인인증서 폴더(NPKI)를 ZIP 파일로 압축하여 전송한다.


알약에서는 해당 파일을 Spyware.PWS.KRBanker.K 로 탐지하고 있다.

댓글