2010년 11월 3일 "대구경찰청, 사이버수사대(참고인 출석요구서)"란 제목을 가진 스팸메일이 국내 유명포털사이트 메일 이용자들에게 무작위로 발송되었다. 또한, 해당메일의 본문에는 마치 실제 대구지방경찰청 사이버범죄수사대에서 발송한것 처럼 속이기 위해 구체적인 직책과 성명, 전화번호, 이메일 정보 등을 담고있어 이용자들의 각별한 주의가 필요하다.

http://www.ytn.co.kr/_ln/0103_201011031740545150 - YTN 뉴스 ]

위 그림과 같이 "참고인 출석요구서"를 작성하라는 문구와 함께 문서 다운로드를 유도하고 있으며, 다운로드를 클릭 할 경우 문서파일이 아닌 exe파일을 다운로드 하게된다. 또한, 실제 대구지역의 지역번호(053)와 다른 051번이 전화번호란에 기재되어있고 경찰청 이메일 계정이 아닌 다음 메일 계정이 기재되어 있는것이 특징이다.

사진을 클릭하시면 확대화면을 보실 수 있습니다.


사진을 클릭하시면 확대화면을 보실 수 있습니다.


다운로드를 클릭하게 되면 위 그림과 같은 exe파일을 다운로드 하게되며, 바로 설치화면을 보여주게 된다.


일련의 설치과정이 완료되면 위 그림과 같이 특정폴더에 파일들이 생성되며, 해당 생성 파일중 svcup.exe파일은 윈도우 시작 시 함께 실행될 수 있도록 하기와 같이 레지스트리에 등록되며, 홍콩에 존재하는 특정 IP에 접속을 시도한다.

※ 레지스트리 등록값

HKEY_CURRENT_USER\
      Software\
          Microsoft\
              Windows\
                   CurrentVersion\
                        Run

이   름 : wmidisp
데이터 : "C:\Program Files\wmidisplay\svcup.exe"

사진을 클릭하시면 확대화면을 보실 수 있습니다.


현재 해당 IP는 접근이 차단되어 있으나, 접근이 정상적으로 이루어지면 위 그림과 같이 특정 광고 효과를 위한 문구가 있는 배너 화면을 보여줄것으로 추정된다.

사진을 클릭하시면 확대화면을 보실 수 있습니다.

또한, 출력된 배너를 클릭하게 되면 위와 같은 배팅 사이트에 대한 링크가 연결된 것으로 알려졌으나, 현재는 국내 유명 포털사이트인 Naver 메인화면으로 링크가 설정되어있다.

사진을 클릭하시면 확대화면을 보실 수 있습니다.

현재 nProtect Anti-Virus 제품군에서는 긴급 업데이트(2010-11-03.01)를 통해 해당 악성코드에 대해 위 그림과 같이 치료기능을 제공하고 있다.

경찰청에서는 참고인 출석을 요구할 시 이메일이 아닌 유선상 전화통화를 이용한다고 하며, 아직 국내에서 특별한 감염 및 피해사례는 보고되지 않고있다. 다만, 메일의 내용에 구체적인 직책, 이름, 전화번호 등이 기재되어 있어 해당 메일 수신자들은 각별한 주의가 필요하다. 또한, 해당 악성코드로 부터 사용자의 PC를 안전하게 보호하기 위해서는 항시 백신을 최신엔진 및 패턴버전으로 유지하는것과 동시에 이와같은 이메일을 수신할 경우 확인절차 없이 바로 삭제를 하는것이 최선의 방법이 될 수 있겠다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect