암호화 된 코드로 감염이 된 파일이 실행되면 svchost.exe 라는 파일이 윈도우 폴더에
없을시 생성되며,감염된 파일은 감염되지 않은 상태로 된다.
암호화된 코드가 해제되면서 svchost.exe 라는 바이러스 원본 파일이 윈도우 폴더에 생성이 되고, 이 파일이
실행되면 실행파일에 감염이 된다.
정상적인 svchost.exe 파일은 c:\winnt\system32 폴더에 있으므로 삭제해서는 안된다.
감염된 파일 크기는 바이러스의 크기만큼 증가한다.
아래와 같이 레지스트리에 등록한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
항목에
win9x, XP의 경우 : PowerManager = c:\windows\svchost.exe
win2000 경우 : PowerManager = c:\Winnt\svchost.exe
바이러스 내부에 아래와 같은 문자열이 암호화되어 있다.
Hidden Dragon virus. Born in a tropical swamp.
바이러스의 버그로 인하여 파일이 손상되는 경우도 있다.
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
