한국 인터넷 진흥원 KISA에서 운영하는 boho.or.kr 에서 원격지원 요청하여 해결하였음.
아래는 참고적으로 해결하기전 문의해본 내용
==============================================
[ 알약 앞 문의]
농협 인터넷 뱅킹 이용 중 특정 메뉴만 실행이 안되고 로그인 화면으로
되돌아 가는 현상으로 원격 상담지원 받던 중,
농협 상담원이 제 PC의 C:\Windows\System32\drivers\
악성코드 감염(파밍?) 된 것이라며 KISA 전화해서 조치 받으라고 하던데,
(탐색기에서 파일 검색 해 보니 C:\Program Files (x86)\INCAInternet\nProtect Netizen v5.5\bak 에도 hosts.ics 파일 있음)
알약 및 virustotal.com 에서 검사해 보아도 hosts.ics(iCalendar 파일) 이 악성코드가 아닌것으로 판단하던데,
1) 위 경로에 hosts.ics(iCalendar 파일)이 있다는 사실만으로 악성코드 감염이라고 단정할 수 있는 건가요 ?
(정상적인 PC에는 이 파일이 없나요 ?)
2) KISA에서 알려준 대로 보호나라에서 hauri 에서 2013년 올려놓은 전용백신이라는 것을 다운받아 실행
하니 바로 알약에서 'vrMain_KisaDM.exe 파일이 호스트를 변경하려는 것을 차단했다' 라고 팝업 되는데
어떻게 해야 하는지요 ?
-------------------------------------
[알약 답변]
안녕하세요, 고객님!
알약 고객지원 담당 정은영입니다.
첨부하신 hosts.ics 파일 자체는 문제가 없으나
악성코드 감염으로 인해 악성사이트로 접속하도록 변조된 경우에 문제가 되는 것입니다.
해당파일은 확인결과 변조된 내용은 확인되지 않습니다.
또한 하우리 전용백신 실행시 알약 호스트파일 보호 알림이 뜨는 것은
해당 전용백신이 실행되면서 호스트파일에 특정 호스트가 추가되어 이를 알약이 차단한 경우로 보여집니다.
해당 전용백신 이용시에는 <알약> 실행하신 후 [환경설정]-[실시간감시] 메뉴에서
"호스트 파일 보호" [OFF]하신 후 이용해 보시기 바랍니다.
참고로, 분석파일 확인결과 고객님PC내 감염항목 및 악성의심항목은 발견되지 않습니다.
감사합니다.
================================
[잉카 인터넷 앞 문의]
| 농협 인터넷 뱅킹 이용 중 특정 메뉴만 실행이 안되고 로그인 화면으로 되돌아 가는 현상으로 원격 상담지원 받던 중, 농협 상담원이 제 PC의 C:\Windows\System32\drivers\ 악성코드 감염(파밍?) 된 것이라며 KISA 전화해서 조치 받으라고 하던데, 탐색기에서 파일 검색 해 보니 C:\Program Files (x86)\INCAInternet\nProtect Netizen v5.5\bak 에도 hosts.ics 파일 있음 알약 및 virustotal.com 에서 검사해 보아도 hosts.ics(iCalendar 파일) 이 악성코드가 아닌것으로 판단하던데, 1) 위 경로에 hosts.ics(iCalendar 파일)이 있다는 사실만으로 악성코드 감염이라고 단정할 수 있는 건가요 ? (정상적인 PC에는 이 파일이 없나요 ?) 2) C:\Program F! iles (x86)\INCAInternet\nProtect Netizen v5.5\bak 에 있는 hosts.ics 파일은 정상 파일 인가요 ? 아니면 악성코드 인가요 ? (만약 악성이라면 조치는 ?) * 파일 첨부하려고 했는데 '지원하지 않는 형식이라서 첨부할 수 없다고 나오네요~) | |
-------------
[잉카 인터넷 답변]
안녕하십니까? 잉카인터넷 고객지원센터 최동권 입니다.
고객님께서는 hosts.ics 파일에 대하여 문의하셨습니다.
말씀하신 hosts.ics 파일은 최근 파밍 악성코드에 의해 악용되는 사례 중 하나 입니다.
해당 파일이 무조건 악성코드라 판단할 수는 없으나 메모장 또는 워드 등의 문서 열람이
가능한 프로그램을 통하여 hosts.ics 파일을 열어보았을 때 여러 금융 관련된 홈페이지의
주소와 특정 아이피가 반복적으로 기재되어 있을 경우 파밍에 감염된 것 입니다.
1) 기본적인 환경의 PC라면 hosts.ics 파일은 존재하지 않고 hosts 파일만 존재하게 됩니다.
2) 저희 nProtect bak 폴더에는 hosts 파일의 백업 본을 보관하고 있습니다. 다만 PC 내에
hosts 파일이 존재하지 않고 hosts.ics 파일이 대체하고 있다면 hosts.ics 파일을
bak 폴더 내에 보관할 수 있습니다.
위의 설명드린 내용처럼 ho! sts 관련 변조는 무조건 악성코드라 할 순 없기에 해당 파일을
메모장 등을 통하여 확인해보시고 판단하시기 바랍니다.
파밍의 감염된 것으로 판단될 경우 hosts.ics 파일은 제거 또는 정상 hosts 파일로
교체하여 주시고, 사용하시는 백신 프로그램을 통해 관련 악성코드를 검사/치료 후
이용하여 주시기 바랍니다.
좋은 하루 되십시오.
고맙습니다.
저희 nProtect 프로그램과 관련된 추가 문의가 있으실 경우
아래 [고객센터 바로가기]를 클릭하신 후 1:1 상담신청으로 문의 부탁드립니다.
항상 즐거운 시간 되시기 바랍니다.
감사합니다.
No comments:
Post a Comment