본문 바로가기

벌새::Analysis

Spam 이메일 : 대구경찰청, 사이버수사대 (참고인 출석요구서) (2010.11.3)

반응형
최근 대구 경찰청 사이버수사대에서 발송한 것으로 위장한 악성 이메일을 통하여 도박(배팅) 사이트 홍보 관련 프로그램을 설치하도록 유도하는 스팸(Spam) 이메일이 유포되고 있는 것을 확인하였습니다.

해당 이메일은 대구지방경찰청 사이버범죄수사대에 근무하는 특정인으로 위장하여 출석 요구서와 관련된 파일을 다운로드하여 실행하도록 유도하고 있습니다.

실제 해당 링크 도메인은 홍콩(HongKong)에 위치한 것으로 확인이 되지만, 등록인은 국내인으로 추정됩니다.

사용자가 링크에서 제시한 wmisetup.exe (SHA1 : 355e0b9346781a3effa147aaed93f7a11fcd94c3) 파일을 다운로드해 보면 10월 25일경에 제작된 것으로 추정되는 설치 파일을 확인할 수 있습니다.

[생성 파일 등록 정보]

C:\Program Files\wmidisplay\svcup.exe :: 시작 프로그램 등록 파일
C:\Program Files\wmidisplay\wmidisplay.exe :: 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\W3S9PSZB\ins[1].htm :: 차단

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - wmidisp = C:\Program Files\wmidisplay\svcup.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcUpdate
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcUpdate
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcUpdate

해당 프로그램은 Windows 시작시 svcup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 메모리에 상주하는 wmidisplay.exe 프로세스는 홍콩에 위치한 특정 아이피(IP)에 접속을 시도하여 추가적인 정보를 다운로드 시도를 합니다.

[svcup.exe 파일 네트워크 연결 정보]

GET /down/*****/update.txt HTTP/1.1
Content-Type: text/html
Host: www.win***.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

[wmidisplay.exe 파일 네트워크 연결 정보]

GET /app/set.txt HTTP/1.1
Content-Type: text/html
Host: www.win***.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

현재 연결을 시도하는 과정에서 경찰청에서 해당 아이피(IP)에 대하여 불법 사이트 차단을 한 상태로 테스트 과정에서는 프로그램의 원래 목적 달성에 실패한 것으로 추정됩니다.

그러나 해당 파일은 프로그램 업데이트 체크 기능이 포함되어 있으므로 배포자가 차단된 부분에 대해 차후 우회를 할 수 있으리라 판단됩니다.

[생성 파일 진단 정보]

svcup.exe (SHA1 : 12d237d3214c69e3b25019d3d43c17837c22ce5f)
 - VBA32 : BScope.Trojan.Banker (VirusTotal : 1/43)

wmidisplay.exe (SHA1 : 9e5704851f88080227a63e179e9e0c4ce520ce6c)
 - AntiVir : TR/Spy.Gen (VirusTotal : 4/43)

wmidisplay.exe 파일이 정상적으로 기능이 동작된다면, 그림과 같이 특정 연결을 통해 도박(배팅) 관련 광고 배너가 생성되며 해당 배너를 통해 야후(Yahoo)와 유사한 느낌의 도박 사이트로 연결이 이루어지고 있습니다.

실제로 경찰청 사이버수사대에서 출석 요구서를 이메일을 통해 발송하는 사례가 없는 것으로 알고 있으므로 위와 같은 이메일을 통해 제공되는 링크(URL) 또는 첨부 파일은 절대로 실행하는 일이 없도록 주의하시기 바랍니다.
728x90
반응형
  • 스팸 프로그램도 점점 지능적으로 심어놓네요.
    관공서에서 발송했다 떠들어대는 이메일도 모두 조심해야겠네요.

  • 김지선 2010.11.03 15:38 댓글주소 수정/삭제 댓글쓰기

    감사합니다 방금 그 메일받아서 먼가 이상해서 프로그램 깔기전에 네이버에 쳐봤더니 이 글 볼수 있었네요. 정말 감사요 ㅋㅋ

  • 스팸인지 알면서도 블로깅을 위해 몸소 다운로드 받아 설치 하셨다는 ^^?
    대단 하십니다.

  • 저기, 이 파일 다운로드는 받지 않고 열어보기만 했다면
    안전한건가요??

    • 이번 이메일의 경우에는 반드시 사용자가 링크를 통해 파일을 다운로드하여 실행을 해야지 감염으로 연결됩니다.

      그러므로 단순히 이메일을 열어보았다고 PC에 문제가 발생하지는 않습니다.^^

  • 우호성 2010.11.03 20:57 댓글주소 수정/삭제 댓글쓰기

    web(웹체크)를 설치 하면 보안 공지와 보안 뉴스에서도 악성코드 ,바이러스 ,보안 취약점 업데이트 ,메일 주의 보도 정보가 있습니다.


    한국 인터넷 진흥원에서 무료 제공 하는 웹톨바를 다운로드 하면
    web(웹체크)를 설치 할 수 있고

    web(웹체크)기능은 사이트 정보, PC최적화, e콜센터 118, PC원격 점검 신청 무료 입니다

    web(웹체크)에서는
    KISA 보안 공지,KISA 보안 뉴스 및
    경찰청 공지 사항,경찰청 주요 사건,경찰청 보도 자료, 보안 정보가 있습니다.

    web(웹체크)에서는 유해 사이트 설정(차단)기능도 추가 되어 있고 무료 입니다

  • Nooriro™ 2010.11.03 22:16 댓글주소 수정/삭제 댓글쓰기

    오늘 뉴스에 나왔다는데...

  • 이름이름 2010.11.04 14:31 댓글주소 수정/삭제 댓글쓰기

    메일 내용에
    "확인하세여" 이거 귀엽네요 ㅎㅎ

  • ㅍㅍ 2010.11.04 15:43 댓글주소 수정/삭제 댓글쓰기

    이거 다운받았는데여 삭제하면 괜찮은 건가요?

    • 단순히 링크를 통해 다운로드하였지만 사용자가 실행하지 않았다면 감염되지 않습니다.

      안전을 위해서는 V3, 알약 등을 이용하여 시스템 정밀 검사를 해보시기 바랍니다.

  • 안녕하세요ㅠㅠ 2010.11.17 00:47 댓글주소 수정/삭제 댓글쓰기

    저완전깜놀했다는ㅠㅠㅠㅠㅠ
    그래서 주소를 딱 한번 클릭만 해봤는데
    아무것도 안 뜨길래 먼저 검색 해봤어요ㅠㅠ

    오른쪽마우스로 주소클릭 한번 밖에 안했는데 이상은 없겠죠??
    창이 안 떠서
    다운 같은 거는 받지 않았는데, 이상 없겠죠???

    • 해당 유포 방식은 사용자가 링크를 통해 파일 다운로드 및 실행을 해야지 감염됩니다.

      제가 알기로는 이미 차단을 한 것으로 알고 있으므로 감염되지는 않았을 겁니다.^^