1. 서론
금일 오전 10시경을 기점으로 "대구경찰청, 사이버수사대 (참고인 출석요구서)" 라는 제목의 사기성 스팸메일이 확산되어 주의가 요구됩니다.


악성코드의 링크가 포함된 이 스팸메일은, 마치 자신이 경찰청 직원인 것처럼 메일내용을 꾸며내어 메일 수신자가  악성코드를 다운받아 실행하게끔 유도하고 있습니다.



2. 대응 현황
관련된 아래의 악성파일들은 V3엔진에서 아래와 같이 진단가능하오니, 의심메일을 받으신분들은 V3 수동검사를 통해 PC를 점검해주시기 바랍니다.

V3(2010.11.03.05) : Win-Trojan/Sparats.593498
V3(2010.11.03.06) : Win-Trojan/Downloader.551936.B
V3(2010.11.03.06) : Win-Trojan/Clicker.582656





3. 감염증상 및 분석정보
위 메일에 첨부된 악성코드는 실행시 c:\program files\wmidisplay\ 하위 폴더에 아래의 파일들을 생성합니다.

svcup.exe
wmidisplay.exe


또한 Run 레지스트리에 키를 등록하여 윈도우 부트시점에 악성코드가 자동으로 실행되도록 설정합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
이름 : wmidisp
데이터 : C:\Program Files\wmidisplay\svcup.exe


홍콩으로 추정되는 지역의 아래의 URL에 접근하며, 악성코드 자신의 버젼을 체크하고, 광고창에 접근하는 주기를 체크하는 기능이 포함되어 있는 것으로 추정됩니다.


// set.txt 내용
display=0
interval=1
interval2=10

// update.txt 내용
svcup.exe=1.0.0.2,svc
wmidisplay.exe=1.0.0.3,run


악성코드가 동작시 주기적으로 아래의 광고창을 띄웁니다.




악성코드가 접근하는 위 도메인은 현재 아래와 같이 사이버테러대응센터에 의해 차단되어서 더이상 접근되지 않습니다.

[URL 접근시 차단되는 화면]

4. 악성코드 예방법
1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.


5. 참고자료

사이버테러대응센터 http://www.net-durumi.go.kr/main.do?tg=ccias




신고
Posted by 비회원