로컬호스트 주소 사용하는 신종 파밍 악성코드 발견돼
- 가
- 가
3일 잉카인터넷은 로컬호스트 IP주소를 사용하는 파밍용 악성코드(gmserv32.dll)를 발견했다고 밝혔다. 이 악성코드는 윈도 시스템파일(svchost.exe)과 호스트 파일(hosts.ics)를 변조해 파밍용 홈페이지로 유도한다.
호스트 파일을 변조하는 수법은 이미 오래전부터 사용돼 왔다. 때문에 백신SW는 호스트 파일의 변조여부를 매번 확인하게 된다. 백신SW는 인터넷뱅킹 홈페이지의 주소가 엉뚱한 IP주소로 연결되는 것을 탐지하고 이를 차단한다.
문제는 백신SW도 로컬호스트 IP주소는 걸러내지 않는다는 점이다. 사용자의 편의(광고차단, 사이트차단) 등의 이유로 로컬호스트 IP주소를 호스트 파일에 사용하는 경우가 많기 때문이다. 악성코드는 우선 호스트 파일을 읽어내는 시스템 파일(svchost.exe)에 악성파일을 삽입(injection)해 로컬호스트로 위장된 호스트 파일을 불러온다.
사용자는 정상적인 URL을 입력해서 홈페이지에 접속하더라도 파밍용 홈페이지로 연결되게 된다.
문종현 잉카인터넷 팀장은 “이번에 발견된 악성코드는 로컬호스트 IP주소를 사용함에도 불구하고 파밍 사이트로 연결되도록 유도한 지능적인 수법”이라며 “설령 치료를 했더라도 호스트 파일의 복원 작업을 수행해야 한다”고 설명했다.
<이민형 기자>kiku@ddaily.co.kr
당신이 좋아할 만한 뉴스
많이 본 기사
연재기사
실시간 추천 뉴스
-
SKT, 취약계층 방문 서비스 다음주부터 시작…"유통망 소통체계 강화"
2025-05-14 11:11:42 -
신한라이프, 한신평으로부터 18년 연속 보험금지급능력평가 최고 등급 획득
2025-05-14 11:09:21 -
[대선 2025] 10대 공약 방점도 경제·산업…3파전 핵심 메시지는?
2025-05-14 11:04:03 -
BBC 다큐에 토스뱅크 등장한다… 커먼 굿(Common Good) 캠페인 참여
2025-05-14 10:38:36 -
[대선 2025] 이재명은 직접 들어가고, 김문수는 기반 닦고…소상공인·농식품 해법 갈렸다
2025-05-14 10:36:23
회사명: ㈜디지털데일리|제호: 디지털데일리|등록번호 : 서울아00039|등록발행연월일: 2005년 9월 6일|사업자 등록번호: 101-86-13419
주소: (04057)서울특별시 마포구 신촌로14길 24(노고산동 54-46)|대표전화: 02-334-7781|Fax: 02-334-7782
대표자: 양경진|편집국장: 채수웅|개인정보·청소년보호책임자: 오주엽
Copyright © DIGITAL DAILY Co.,Ltd. All Rights Reserved.