경찰청을 사칭한 악성스팸메일 주의! “대구경찰청, 사이버수사대 (참고인 출석요구서)” Posted By ASEC , 2010년 11월 3일 1. 서론 금일 오전 10시경을 기점으로 “대구경찰청, 사이버수사대 (참고인 출석요구서)” 라는 제목의 사기성 스팸메일이 확산되어 주의가 요구됩니다. 악성코드의 링크가 포함된 이 스팸메일은, 마치 자신이 경찰청 직원인 것처럼 메일내용을 꾸며내어 메일 수신자가 악성코드를 다운받아 실행하게끔 유도하고 있습니다. 2. 대응 현황 관련된 아래의 악성파일들은 V3엔진에서 아래와 같이 진단가능하오니, 의심메일을 받으신분들은 V3 수동검사를 통해 PC를 점검해주시기 바랍니다. V3(2010.11.03.05) : Win-Trojan/Sparats.593498 V3(2010.11.03.06) : Win-Trojan/Downloader.551936.B V3(2010.11.03.06) : Win-Trojan/Clicker.582656 3. 감염증상 및 분석정보 위 메일에 첨부된 악성코드는 실행시 c:program fileswmidisplay 하위 폴더에 아래의 파일들을 생성합니다. svcup.exe wmidisplay.exe 또한 Run 레지스트리에 키를 등록하여 윈도우 부트시점에 악성코드가 자동으로 실행되도록 설정합니다. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 이름 : wmidisp 데이터 : C:Program Fileswmidisplaysvcup.exe 홍콩으로 추정되는 지역의 아래의 URL에 접근하며, 악성코드 자신의 버젼을 체크하고, 광고창에 접근하는 주기를 체크하는 기능이 포함되어 있는 것으로 추정됩니다. http://www.w****8.com/***/ins.asp?m=i http://www.w****8.com/****/adver/update.txt http://www.w****8.com/***/set.txt // set.txt 내용 display=0…
