□  개요
  o 1월 19일, 국내 은행을 위장한 피싱 사이트들이 발견되어 인터넷뱅킹 사용자들의 주의가 요구됨

□ 설명 
  o 공격자는 악성코드를 통하여 윈도우즈의 hosts 파일에 아래의 내용을 추가하며, 해당 
    hosts 파일을 통하여 공격자가 구성해 놓은 피싱사이트로 접속을 유도함
    - 61.222.186.60   ibn.kbstar.com
    - 140.119.210.85   banking.nonghyup.com
    - 140.119.210.85   bank.nonghyup.com

  o 해당 피싱사이트를 통해 주민등록번호, 계좌번호, 계좌비밀번호, 인증서 비밀번호, 보안카드 번호
     등을 유출함
  ※ 발견된 피싱사이트는 한 화면에 계좌비밀번호, 인증서 비밀번호, 보안카드 번호 등 여러 가지
     금융정보를 입력하도록 요구하고 있어 정상사이트와 구분됨

□ 예방책 

   o 최신의 윈도우즈 보안 패치 적용

    - 해당 취약점에 대한 마이크로소프트사의 취약점 패치(MS06-014) 적용

    - 보호나라의 PC 자동 보안업데이트 설치
 

□ 해결 방법

  o 개인 PC의 감염 여부를 확인하기 위해서는 hosts 파일의 내용을 확인하고, 감염시 치료하도록 함
    (hosts 파일 확인방법 및 수동치료방법 참고)

  o 피싱 사고를 예방하기 위해서는 윈도우즈 보안 패치를 철저히 하고, 최신 바이러스 백신을
    사용하여 PC를 주기적으로 점검하고, 피싱 메일이나 의심스런 사이트에 개인정보를 제공하지
    않아야 함

※ 백신이 설치되어 있지 않은 사용자는 아래의 전용백신을 다운받아 바이러스 검사를
    수행하시기 바랍니다.

      - 안철수연구소 제공 전용백신(V3)      - 뉴테크웨이브 제공  전용백신(바이러스체이서)      
       ※ 전용백신은 본 악성코드를 진단 / 치료하는 기능만 제공되며 예방하는 기능은
          제공되지 않습니다.

※ hosts 파일 확인 방법 및 수동치료 방법

  o hosts 파일 확인 방법

   ① 시작 → 실행 → hosts 파일 위치입력 후 확인 클릭
    ※ Windows XP일 경우 : C:\windows\system32\drivers\etc\hosts
    ※ Windows 2000/NT일 경우 :　C:\WINNT\system32\drivers\etc\hosts

   ② 연결프로그램 창이 열리면 메모장(Notepad)를 선택하고 확인클릭

   ③ 은행 홈페이지 주소가 있는지 확인

  o 수동치료 방법

   ①  부팅시 F8을 눌러 안전모드로 부팅 

   ②  윈도우 폴더에 생성되어 있는 악성파일  “SVCH0ST.exe” 삭제
    ※ 주의 : SVCH0ST.exe의 “0”는 영문자가 아닌 숫자 zero임
    ※ 운영체제별 윈도우 폴더 :
        - Windows NT/2000 ⇒ C:\Winnt\
        - Windows XP ⇒ C:\Windows\

   ③  악성코드가 생성한 아래 레지스트리 항목 삭제
        HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load에서 
        c:\\windows\SVCH0ST.EXE 

   ④ hosts 파일에 삽입된 금융관련 사이트 삭제
      61.222.186.60    ibn.kbstar.com
      140.119.210.85   banking.nonghyup.com
      140.119.210.85   bank.nonghyup.com
    ※ 운영체제별 hosts 파일 위치
        - Windows 2000/NT일 경우 :　C:\WINNT\system32\drivers\etc\hosts
        - Windows XP일 경우 :   C:\windows\system32\drivers\etc\hosts