*감염
경로
파일
자체에는
스스로
확산되는
기능은
없으며,
사용자가
인터넷을
통해
메일,
게시판,
자료실
등에서
실행파일을
다운로드
해
실행되는
것으로
추정,
또한
다른
악성코드에
의해
인터넷에서
다운로드
되거나
감염되는
것으로
추정
*증상
-파일
생성
윈도우
폴더에
alg.exe 라는
파일을
생성한다.
-윈도우
폴더란?
-
윈도우
95/98/ME/XP -
C:\Windows\
-
윈도우
NT/2000
-C:\WinNT\
윈도우
시스템
폴더에
oksound.dll(Trojan-W32/Nilage.90112.E)라는
파일을
생성한다.
-윈도우
시스템
폴더란?
-
윈도우
95/98/ME -
C:\Windows\System,
-
윈도우
NT/2000
-C:\WinNT\System32
-
윈도우
XP
- C:\Windows\System32
-레지스트리
등록
레지스트리에
다음
값을
추가해
윈도우
시작
시
자동으로
실행되도록
한다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCIDown
ImagePath = 윈도우폴더\alg.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00\Services\PCIDown
ImagePath = 윈도우폴더\alg.exe
- 해당 트로이안은 실행중인 모든 프로세스에 oksound.dll
를 강제로 주입 시킨다. 감염된
시스템의
사용자가
특정
온라인
게임에
접속하여
사용자
아이디와
암호를
입력하면
이
입력된
정보를
특정
메일
주소로
전송한다. |
Home 
