Win-Trojan/PWS-Cardnum.36864

 Win-Trojan/PWS-Cardnum.36864

 

 

이 트로이목마는 특정 사이트(비자, 마스터카드 사이트)로의 접속을 방해하고 허위 안내문으로 비자(VISA)와 마스터카드(MASTER) 신용카드 정보를 입력하게 해서 그 정보를 유출하는 증상을 가지고 있다. 2005년 4월 8일에 최초로 발견되었고, 제작국가는 불명이다. 

 

트로이목마가 실행되면 'VISA and MasterCard Protection Program'이라는 이름의 가짜 보안프로그램을 실행시킨다.

이때 호스트(HOSTS) 파일이 변경되어 비자, 마스터카드 사이트가 트로이목마 제작자가 만든 가짜 사이트로 연결된다.

다음은 변경된 호스트 이름이다. 

-Verifiedbyvisa.visa.com

-Securecode.mastercard.com

*호스트 파일은 사용 윈도우에 따라 다른 폴더에 존재한다. 윈도우 9x(95, 98, me)는 C:\Windows\System 폴더에, 윈도우 NT(NT, 2000)는 C:\WinNT\System32\Drivesr\ETC 폴더, 윈도우 XP는 C:\Windows\System32\Drivers\ETC에 존재한다. 

감염된 컴퓨터가 비자 또는 마스터카드 사이트에 접속하면 변경된 주소로 접속하게 되는데 호스트 이름이 정상적이기 때문에 사용자는 의심없이 신용카드 정보를 입력할 수 있다.

 

*현재 가짜 비자, 마스터카드 사이트는 폐쇄되었다.

 *이 트로이목마에 대한 더 이상의 추가정보를 찾을 수 없어서 여기서 끝내도록 하겠다.

 

참고:

안철수연구소