반응형
(그림 참조 : 네이버 사이트 이미지)
11월 3일 오전부터 대구경찰청을 사칭한 스팸메일이 발송되고 있다.
대구 지방경찰청이라고 사칭을 하고 있으며, 출석요구서를 다운로드 하라고 한다.
근데 첨부 파일은 따로 존재하지 않으며, 참 찌질하게 사용자가 다운로드 하라고 시킨다 ㅡ.ㅡ;;
원래는 href 태그를 사용해서 클릭을 유도하려고 한 거 같은데~ 좀 확인하고 좀 보내지 ㅋㅋ
- 참고 내용-
경찰청 블로그 : 대구경찰청 사칭 스팸 메일 주의하세요~(http://polinlove.tistory.com/2031)
My Hack3d St0ry님 블로그 : 경찰청 악성코드 다운로드 유도 스팸메일(hacked.tistory.com/443)
벌새님 블로그 : Spam 이메일 : 대구경찰청, 사이버수사대 (참고인 출석요구서) (2010.11.3)(hummingbird.tistory.com/2544)
암튼 저 파일을 다운로드 후 실행 하면 다음과 같이 생성된다.
- 파일 정보
(사용자가 다운로드 받은 위치)\wmisetup.exe
C:\Program Files\wmidisplay\svcup.exe
C:\Program Files\wmidisplay\wmidisplay.exe
- 레지스트리 정보
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"wmidisp" = "C:\Program Files\wmidisplay\svcup.exe"
- 연결 사이트 정보
http://www.win018.com/app/ins.asp?m=e 에 접속을 시도하며, 해당 배너를 통해 사이트가 리다이렉션 될 수 있다.
초반에는 야후와 관련 된 도박사이트로 연결이 되었지만, 현재는 네이버 포탈 사이트로 연결 된다.
파일 버전을 체크하고 업데이트 기능이 있기 때문에~ 감염 된 PC는 차후 위험해 질 수 있으니 주의하시기 바람!!
'IT 보안소식' 카테고리의 다른 글
| 알약(ALYac), G20 이슈 문서를 위장한 이메일 주의 (0) | 2010.11.10 |
|---|---|
| 알약(ALYac), 알약 v2.5.0.1 기업용/서버용 출시! (2) | 2010.11.08 |
| Adobe Flash Slammed With Critical Bug(CVE-2010-3654) (0) | 2010.11.03 |
| 인터넷침해대응센터, 사이버공격 위험성 증가에 따른 ‘관심’ 경보 발령 (0) | 2010.11.01 |
| 파이어폭스(FireFox), 취약점을 이용하는 악성코드 (4) | 2010.10.29 |
댓글