|
*감염
경로
윈도우
보안
취약점을
통해
감염
*증상
-파일
생성
윈도우
시스템
폴더에
vmmon32.exe 라는
파일을
생성한다.
|
윈도우
시스템
폴더 |
|
95/98/ME |
C:\Windows\System |
|
NT/2000 |
C\WinNT\System32 |
|
XP |
Windows\System32 |
.
-레지스트리
등록
레지스트리에
다음
value를
등록해
윈도우
구동시
자동
실행되도록
만든다.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“Printer”
= 윈도우
시스템
폴더\vmmon32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“Printer”
= 윈도우
시스템
폴더\vmmon32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
“Printer”
= 윈도우
시스템
폴더\vmmon32.exe
감염된
시스템은
TCP 임의의
포트를
LISTENING 상태로
열어둔다.
(상대로부터
접속을
기다리는
상태)
그
후
사용자
몰래
접속
해
스팸
메일
발송,
애드웨어
설치,
데이터
삭제,
그리고
개인의
컴퓨터
사용
내역을
훔쳐보거나
각종
파일(개인
문서,
기밀
문서
등)을
외부로
빼가는
보안상
문제도
발생할
수
있음
-뮤텍스
생성
다음
뮤텍스(Mutex)를
생성해
중복
실행을
방지한다.
- rxRizzo_v1.3b
|
