*감염 경로
사용자가 인터넷에서 파일을 다운로드 하거나 다른 악성코드에서 설치하는 것으로 추정됨
*증상
감염된 시스템은 윈도우 방화벽 종료, 복원 작업 중지등 악의적인 기능을 수행한다.
-파일 생성
윈도우 폴더에 services.exe라는 파일을 생성한다.
-윈도우 폴더란?
- 윈도우 95/98/ME/XP - C:\Windows\
- 윈도우 NT/2000 -C:\WinNT\
윈도우 시스템 폴더에 winkey.dll(Backdoor-W32/Prorat.245760.C), reginv.dll(Backdoor-W32/Prorat.36864.B), Fservice.exe 라는 파일을 생성한다.
-윈도우 시스템 폴더?
- 윈도우 95/98/ME - C:\Windows\System,
- 윈도우 NT/2000 -C:\WinNT\System32
- 윈도우 XP - C:\Windows\System32
\WINDOWS\system sservice.exe 라는 파일을 생성한다.
-레지스트리 등록 레지스트리에 다음 value를 등록해 윈도우 구동시 자동 실행되도록 만든다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run DirectX For Microsoft?Windows = 윈도우 시스템 폴더\fservice.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = explorer.exe 윈도우 시스템 폴더\fservice.exe |