클릭원스(ClickOnce), 닷넷기반 클릭원스 배포방식을 이용한 인터넷뱅킹 파밍 악성코드 주의




최근 클릭원스라는 배포방식을 이용하여 인터넷뱅킹(KRBanker) 파밍 악성코드가 확인되었다.


- 클릭원스(ClickOnce) 배포방식이란?

클릭원스는 기존 웹 기반 환경에서 엑티브엑스(ActiveX) 방식처럼 웹에서 프로그램을 설치할 수 있도록 도와주는 기능이며,Microsoft .NET Framework 기반에서만 동작한다.



이미 많은 사이트 및 블로그에서 해당 내용을 다루었기 때문에 자세한 설명은 하지 않고 기록용 포스팅으로 작성한다.





□ 클릭원스(ClickOnce) 배포방식 악성코드  관련 내용




※ 모든 스크린샷에 포함 된 URL은 모자이크 처리 되었음


















해당 배포방식을 통해 다운로드 된 Tmb.exe 파일은 

특정 서버(http://statistical.duapp.com/api.php)로 사용자의 버전, MAC주소, 랜카드, IP주소, 컴퓨터이름 등을 전송한다

또한 감염 PC에서 공인인증서 폴더(NPKI)를 ZIP 파일로 압축하여 전송한다.


알약에서는 해당 파일을 Spyware.PWS.KRBanker.K 로 탐지하고 있다.

댓글(2)

  • 2014.07.01 11:12 신고

    ! 처리님께서 제 포스트를 트랙백해주시다니!! 감사합니당 그리고 포스트 잘 봤습니다

    • 2014.07.01 11:27 신고

      별말씀을^^;
      해당 포스팅은 그냥 기록용이라 ㅎㅎ 볼게 많이 없어요 ㅋㅋ

Designed by JB FACTORY