728x90
반응형
최근 대구 경찰청 사이버수사대에서 발송한 것으로 위장한 악성 이메일을 통하여 도박(배팅) 사이트 홍보 관련 프로그램을 설치하도록 유도하는 스팸(Spam) 이메일이 유포되고 있는 것을 확인하였습니다.
그러나 해당 파일은 프로그램 업데이트 체크 기능이 포함되어 있으므로 배포자가 차단된 부분에 대해 차후 우회를 할 수 있으리라 판단됩니다.
[생성 파일 등록 정보]
C:\Program Files\wmidisplay\svcup.exe :: 시작 프로그램 등록 파일
C:\Program Files\wmidisplay\wmidisplay.exe :: 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\W3S9PSZB\ins[1].htm :: 차단
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- wmidisp = C:\Program Files\wmidisplay\svcup.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcUpdate
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcUpdate
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcUpdate
C:\Program Files\wmidisplay\svcup.exe :: 시작 프로그램 등록 파일
C:\Program Files\wmidisplay\wmidisplay.exe :: 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\W3S9PSZB\ins[1].htm :: 차단
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- wmidisp = C:\Program Files\wmidisplay\svcup.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcUpdate
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcUpdate
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcUpdate
[svcup.exe 파일 네트워크 연결 정보]
GET /down/*****/update.txt HTTP/1.1
Content-Type: text/html
Host: www.win***.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
[wmidisplay.exe 파일 네트워크 연결 정보]
GET /app/set.txt HTTP/1.1
Content-Type: text/html
Host: www.win***.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
GET /down/*****/update.txt HTTP/1.1
Content-Type: text/html
Host: www.win***.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
[wmidisplay.exe 파일 네트워크 연결 정보]
GET /app/set.txt HTTP/1.1
Content-Type: text/html
Host: www.win***.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
그러나 해당 파일은 프로그램 업데이트 체크 기능이 포함되어 있으므로 배포자가 차단된 부분에 대해 차후 우회를 할 수 있으리라 판단됩니다.
[생성 파일 진단 정보]
svcup.exe (SHA1 : 12d237d3214c69e3b25019d3d43c17837c22ce5f)
- VBA32 : BScope.Trojan.Banker (VirusTotal : 1/43)
wmidisplay.exe (SHA1 : 9e5704851f88080227a63e179e9e0c4ce520ce6c)
- AntiVir : TR/Spy.Gen (VirusTotal : 4/43)
svcup.exe (SHA1 : 12d237d3214c69e3b25019d3d43c17837c22ce5f)
- VBA32 : BScope.Trojan.Banker (VirusTotal : 1/43)
wmidisplay.exe (SHA1 : 9e5704851f88080227a63e179e9e0c4ce520ce6c)
- AntiVir : TR/Spy.Gen (VirusTotal : 4/43)
728x90
반응형