안녕하세요 오늘은 파밍 관련 금융감독원 팝업창 제거 inst.exe 악성코드 치료/삭제 하는 방법을 알려드릴려고합니다.
파밍 수법은 계속 바뀌고 이습니다. 이번 바뀐 수법은 공인인증서 까지 탈취해서 전송하는 방법이 추가되었더군요.
저는 컴퓨터에서 결제를 하지않아도 당하지는 않았는데 제가 활동하는카페에서 당한분들이 몇이있더군요.
금융감독원팝업창에 절대로 이름,주민전호,계정번호,전화번호를 입력하지만세요. 다 사기에요. 이 수법이 오래되었습니다.
기존에 C:\WINDOWS\system32\drivers\etc 폴더엔안 hosts 파일을 변조해서 은행사이트 나 포탈사이트에 팝업창을 띄우던방법은 이미 많은 분들이 알고있어서 이방법을 쓰지않고 이젠 윈도우 네임서버 (dns)를 조작하여 팝업창을 띄웁니다..
악성앱도 있다는데 조심하세요. 스마트폰 공인인증서도 탈튀한다는군요.스마트폰도 안전하지가 않아요..
공인증증서는 사용후 바로 삭제하는 것이 좋아요.그때그때 설치해서 쓰고 바로바로 삭제하세요. pc나 스마트폰에 놔두는 위험해요.. 스마트폰이나 컴퓨터에 악성코드(파밍)이 설치되면 공인인증서를 복사하서 자기네들(사기꾼) 서버로 전송합니다..
악성코드는 프로그램에서만 감염되는것이 아니고 웹페이지 접속으로도 감염이 됩니다..
이 파밍은 웹에서 감염된것이 많습니다. 뉴스사이트나 , 커뮤니티사이트 등에 악성코드가 삽입되어 사이트를 통해퍼지기돠구요.
컴퓨터를 하보면 나도모르게 악성코드에 감되기때문에 p2p나 웹하드사이트,토렌트 하고 출처가 불분명한 곳에서 파을은 받지마시구요.
새로 바뀐 금융감독원 팝업창 전에 금융감독원 팝업창 과다른것은 보이면아시겠지만
새로바뀐 팝업창에는 X 버튼이 생겼습니다.
그리고 이번에는 팝업창만 띄우는것이아니고 공인인증서 까지 탈취 합니다...
(오늘 2015-1-30일 기준)
전에 올린 금융감독원 팝업창 삭제방법 http://gby05.tistory.com/1580
그럼 잡소리 줄이고 본내용 들어가겠습니다
inst.exe 파일은 악성코드에요... 파일위치는 C:\ 폴더에 있습니다.
전에 파밍은 파일이름이 무작위로 (램덤) 아무의미없이 만들어졌는데
이번에는 그렇지않고 inst.exe 만들어지더군요.
1. 먼저 내컴퓨터 -> C:\ 폴더로 이동하세요..
2. C:\ 폴더를 열고 여기서 inst.exe 파일을 찾아보세요..
프로그램 아이콘(그림) 은 매번 바뀝니다. 저 그림이 아닐수도 있어요...
파일이름만 확인하시면 됩니다.. 확인했으면 이프로그램을 삭제하셔야합니다..
그냥 Delete 키나 오른쪽마우스 삭제하로 삭제하시면 삭제가 알될거에요.
왜삭제안되냐면 사기꾼들이 악성코드를 그냥쉽게 삭제 안되게 만들어놔서 삭제가 않되는거에요.
삭제하기전에 먼저 아래 방법으로 시작 프로그램에 등록되어있는 inst.exe 를 해제햐줘야합니다.
부팅할때 자동으로 시작되게 이프로그램을 시작 프로그램에 등록시켜놓았습니다.(사기꾼들이)
그래서 아래방법으로 먼저 해제시키신후에 프로그래을 삭제하면 됩니다.
4. 시작 실행을 누른후 msconfig 를 입력후 확인을 눌러주세요.(대문자로 입려해도 ok)
시스템 구성 유틸리티 창이 [뜨면 시작 프로그램] 탭을 눌러주세요.
4. 목록에서 inst 를 찾아서 체크되어있는 것을 풀어준후 적용을 눌러주세요.
5. 적용을 누른후 다시 닫기 를 눌러주세요..
6. 시스템 구성 창이 뜨면 다시 시작하지 안고 끝내기 를 눌러주세요.
이방법은 삭제한것이아니고 부팅했을때 자동으로 실행되지못하게 하는것을 막는방법입니다.
이젠 inst.exe 를 삭제할 차례입니다... 요놈이 팝업창을 띄우고 공인인증서를 전송을 담당하는 놈입니다.
이놈부터 삭제해야합니다.
이벙수법은 host파일을 변조하지 않고 dns를 조작하더군요.
7. 아래 파일강제삭제 하는 툴을 첨부합니다.
파일강제삭제unlocker.exe
8. 다운받아후 실행켜주세요.
무설치에요 xp에서는 그냥실행하면 되고 Windows XP 이상 운영체제(vista,windows7 ,8 ,8.1 )에서는
더블클릭해서 실행하지마시구요. 오른쪽마우스 클릭해서 관리자 권한 으로 실행해주세요.
실행하면 시계옆에 상주 할거에요. 그냥 그대로 냅두시구요.
9. inst.exe 파일이 있는곳으로 다시가주세요.(C:\)
들어간후 Inst.exe 에 마우스 대고 오른쪽마우스 클릭해주세요.
그럼 메뉴 중간에 Unlocker 가보이는데 그걸눌러주세요(Unlocker 프로그램이 실행되어야 저게뜹니다.)
10. Unlocker 를 를 누러면 요런창이뜨는데 [삭제] 선택후 확인을 눌러주세요.
그럼 부팅 할 때 삭제할까요 ? 라고 뜨는데 예를 눌러세요.
원래는 바로 삭제되었는데 이 파밍 수법이 바뀌면서 바로삭제안되게 만들었더군요.
이젠 열려있은 모둔 인터넷창을 모두 닫아주시고 재부팅해주세요..재부팅 해야 삭제가됩니다.
재부팅 후 .........
바탕화면에 요런 창이 뜰긴데 요건저기(Windows 시작시 이메시지를 다시...) 체크후 확인을 눌러주시면됩니다.
다시 C:\ 폴더로 들어가서 파일이있는지 확인해보세요..삭제되어서 없을거에요.
저는 이방법으로 바로 삭제했습니다.. 인터넷창도 열어보세요.. 금융감동원팝업창이 뜨지않을거에요.
삭제했더니 네이버,다음, 접속해도 금융감독원팝업이 뜨지않네요.
inst.exe 악성코드가 없는 경구요?
파밍(금융감독원팝업창) 악성코드는 공유기 취약점을 이용해 팝업창을 띄우기도 합니다.
공유기 문제일경우 공유기를 설정에 들어가서 공유기 초가화 하고 공유기에 암호를 걸어놓으시면 됩니다.
암호가 공유기 취약점을 이용합니다.
p.s 마지막으로 알약에서 만들어 배포하는 취약 점검사 프로그램을 다운받아 한번 돌려보세요.
어떤 취약점이 컴퓨터에있는지 검사해주는 프로그램입니다.저는 검사했더니 Adobe flash player 에 취약점이 발견 되었다고해서
지금 방금 최신버전으로 업데이트 했습니다. (절대로 스마트폰 ,컴퓨터 에 공인인증서를 두지마세요)
http://alyac.altools.co.kr/Public/Alyac/ExploitShield.aspx
(2015-02-02 추가)
inst.exe 삭제후 인터넷이 안되는 문제 해결방법
악성코드 inst.exe 삭제후 부팅했는데 인터넷이 안되는 문제 제가 발생하는데
이문제는 아래방법으로 간단히 해결할 수 있습니다 dns 정보를 변경해서 인터넷 접속이 안되는거에요.
원래는 host파일을 변조해서 금융감독원 팝업창을 띄웠는데 이제는 이방법을 사용하지않더군요..
dns를 변경하는 수법으로 진화 했네요.. 이런 써글놈들 ..
원래 상태로 되돌리는 방법 (xp 기준)
바탕화면 [내 네트워크 환경] 에 오른쪽마우스 눌러서 속성 으로 들어가주세요.
그럼 [로컬 영역 연결] 이 보일건데요.
오른쪽 마우스 눌러서 속성으로 들어가주세요.
속성창이 뜨면 "인터넷 프로토콜(TCP/IP)" 를 더블클릭해주세요.
그럼 인터넷 프로토콜(TCP/IP) 등록 정보 창이뜨는데요.
여기서 "다음 DNS 서버 주소 사용" 으로 된것을 위에 "자동으로 DNS 서버 주소 받기" 로 바꿔준후 확인을 눌러서 저장하시면 해결이 됩니다. 아래와 같이 하세요.↓
자동으로 DNS 서버 주소 받기 에 체크한후 확인을 눌러주세요. 그럼 인터넷이 될거에요..
P.S 금융감독원 팝업창 악성코드는 디시인사이트를 통해서 퍼지고있습니다.(몇몇 뉴스사이트도 있음)
절대로 접속해서는 안됩니다.. (제가 확인해봤어요.)
