|
감염 경로
자제 전파 기능은 없으며, 사용자가 인터넷을 통해 메일, 게시판, 자료실 등에서 실행파일을 다운로드 해 실행되는 것으로 추정, 또한 다른 악성코드에 의해서도 다운로드 되거나 감염됨.
증상
감염된 시스템의 사용자가 특정 온라인 게임(Linea**)에 접속하여 사용자 아이디와 암호를 입력하면 이 입력된 정보를 특정 메일 주소로 전송
-파일 생성
윈도우 시스템 폴더에 explorer.exe, dab1.dll
(Trojan-W32/KorHack.45056.E로 진단 )
라는 파일 생성
-윈도우 시스템 폴더란?
-윈도우 95/98/ME
-C:\Windows\System
-윈도우 NT/2000
-C:\WinNT\System32
-윈도우
XP
-C:Windows\System32
-레지스트리
등록
레지스트리에
다음 value를 등록해 윈도우 구동시 자동 실행되도록 만든다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
Userinit =
윈도우 시스템 폴더\userinit.exe, 윈도우 시스템 폴더\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell
Explorer.exe =
윈도우 시스템 폴더\explorer.exe
|
