2012년 7월 11일 국내 금융 업체의 온라인 뱅킹에 사용되는 개인 금융 정보를 탈취하는 Banki 트로이목마의 변종이 발견되었다. 다른 변종들과 동일하게 RARSfx 형태로 압축됐다.

이 악성코드는 내부에 CONFIG.INI(29 바이트), CretClient.exe(704,512 바이트)와 HDSetup.exe(430,080 바이트) 파일 3개를 포함하였다.

해당 악성코드에 감염되면 RARSfx 파일 내부에 압축돼 있는 파일들이 다음 경로에 생성된다.

C:\WINDOWS\CretClient.exe(704,512 바이트)

C:\WINDOWS\HDSetup.exe(430,080 바이트)

생성된 HDSetup.exe(430,080 바이트)는 cmd.exe를 백그라운드로 실행한 후 CONFIG.INI(29 바이트)에 기록된 특정 IP 주소를 참조하여 hosts 파일을 수정한다. 이후 감염된 시스템에서 국내 금융 업체의 웹 사이트로 접속을 시도할 경우 홍콩에 위치한 특정 시스템을 통해 허위 제작된 금융 업체 피싱(Phishing) 사이트로 연결된다.

이 피싱 사이트는 온라인 뱅킹에 사용되는 보안 카드의 비밀번호를 입력하도록 사용자들을 유도한다. 또한 아래와 같이 CretClient.exe(704,512 바이트)를 실행해 감염된 PC의 사용자가 사용하는 공인 인증서(PKI)를 탈취한다.

이번에 발견된 Banki 트로이목마 변종들은 모두 7월 8일에 제작되었으며 기존 변종들과 동일한 파일명을 사용했다. 이를 미루어 볼 때 해당 악성코드 제작자는 금융 정보를 탈취할 목적으로 지속적으로 악성코드를 유포한 것으로 보인다.

금일 발견된 Banki 트로이목마 변종들은 V3 제품군에서 다음과 같이 진단한다.@