*감염 경로

윈도우 보안 취약점을 통해 감염

*증상

C:\윈도우 폴더\system32\syshelp 폴더 아래에 lsass.exe 라는 파일을 생성한다.

-여기서 윈도우 폴더란 9x,XP 에서는 windows폴더를 뜻하고 2000,NT 에서는 winNT를 뜻한다.

그리고 레지스트리에 다음 value를 등록해 윈도우 구동시 자동 실행되도록 만든다.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"webpro antivirus 2.0" = 윈도우 시스템 폴더\syshelp\lsass.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"webpro antivirus 2.0" = 윈도우 시스템 폴더\syshelp\lsass.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"webpro antivirus 2.0" = 윈도우 시스템 폴더\syshelp\lsass.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"webpro antivirus 2.0" = 윈도우 시스템 폴더\syshelp\lsass.exe

감염된 시스템은 TCP 임의의 포트를 LISTENING 상태로 열어둔다. (상대로부터 접속을 기다리는 상태)

그 후 사용자 몰래 접속 해 스팸 메일 발송, 애드웨어 설치, 데이터 삭제, 그리고 개인의 컴퓨터 사용 내역을 훔쳐보거나 각종 파일(개인 문서, 기밀 문서 등)을 외부로 빼가는 보안상 문제도 발생할 수 있음

HOSTS 파일을 수정해 감염된 시스템에서 특정 주소로 접속하지 못하게 한다. 접속을 차단하는 주소는 주로 보안 사이트 홈페이지나 백신 엔진 업데이트 서버로 감염된 사용자가 치료를 위한 엔진 업데이트를 방해한다.

HOSTS 파일  - 윈도우 95/98/ME - C:\Windows\System 폴더에 존재 
                       윈도우 NT/2000 - C:\WinNT\System32\Drivers\ETC 폴더
                       윈도우 XP - C:\Windows\System32\Drivers\ETC 폴더