|
*감염
경로
-윈도우
보안
취약점을
통해
감염
-사용자
계정의
취약한
암호에
의해
감염
ex) xxxxx, test123, 121212,
등등..
윈도우
NT계열(윈도우
NT,2000,XP)의
관리
목적
공유폴더에
대한
사용자
로그인
계정의
암호가
취약한
경우
시스템에
접속
후
실행.
*증상
-윈도우
시스템
폴더에
winsecure.exe
라는
파일을
생성한다.
|
윈도우
시스템
폴더 |
|
95/98/ME |
C:\Windows\System |
|
NT/2000 |
C\WinNT\System32 |
|
XP |
Windows\System32 |
.
-레지스트리에
다음
value를
등록해
윈도우
구동시
자동
실행되도록
만든다.
HKEY_CURRENT_USER\SOFTWARE\MicrosoftOLE
“Windowfdgfds
DLL fgfdg Verifier “ = winsecure.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“Windowfdgfds
DLL fgfdg Verifier “ = winsecure.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
“Windowfdgfds
DLL fgfdg Verifier “ = winsecure.exe
-감염된
시스템은
TCP 임의의
포트를
LISTENING 상태로
열어둔다.
(상대로부터
접속을
기다리는
상태)
그
후
사용자
몰래
접속
해
스팸
메일
발송,
애드웨어
설치,
데이터
삭제,
그리고
개인의
컴퓨터
사용
내역을
훔쳐보거나
각종
파일(개인
문서,
기밀
문서
등)을
외부로
빼가는
보안상
문제도
발생할
수
있음
-뮤텍스
생성
다음
뮤텍스(Mutex)를
생성해
중복
실행을
방지한다.
-
shit
- 감염된 시스템은 실행중인 특정 프로세스를
강제 종류 시킨다.
WINSTART.EXE
WINSSK32.EXE
WINSERVN.EXE
WGFE95.EXE
WFINDV32.EXE
WEBTRAP.EXE
WEBSCANX.EXE
VPTRAY.EXE
VPFW30S.EXE
VPC42.EXE
VPC32.EXE
VNPC3000.EXE
VNLAN300.EXE
VIRUSMDPERSONALFIREWALL.EXE
등등.. |
