*감염 경로

현재 정확한 감염 경로가 확인 되지 않았지만, 타 유해코드로 인한 연쇄 감염을 의심하고 있다.

*증상

- 대량 유해 트래픽을 수반하는 분산서비스거부공격(DDoS)공격으로 인한 특정 사이트 마비 현상

- DDoS 관련 악성코드로서 msiexec2.exe 라는 파일명을 가지고 있으며 DDoS 공격을 수행하는 DLL 파일을  생성한다. 

- 파일 생성

     -  파일명 : msiexec2.exe

      - 파일길이 : 37,461 바이트

위 파일이 실행 되면 uregvs.nls 파일을 생성한다.
또한 EXE 파일에는 코드 내부에 공격 리스트를 담겨 있다.

-윈도우 시스템 폴더란?

       윈도우 95/98/ME     -  C:\Windows\System,

      윈도우 NT/2000        -  C:\WinNT\System32

       윈도우 XP               -  C:\Windows\System32

- DDoS 공격에 사용되는 DLL 파일은 다음과 같이 생성 된다.

C:\WINDOWS\system32\wmiconf.dll

-          파일 이름 : wmiconf.dll

-          파일 길이 : 67,072 바이트

관련 DLL 파일은 리스트를 공격할 리스트를 참조하여 사이트 공격을 감행한다.

*공격 사이트 리스트
[****국내 사이트****]
- 청와대, 국방부, 외교통상부, 대한민국 국회, 주한 미군, 네이버 블로그, 네이버 메일, 농협 인터넷 뱅킹, 신한은행 인터넷 뱅킹, 외환은행 인터넷 뱅킹, 한나라당, 조선일보, 옥션

- banking.nonghyup.com (농협 인터넷 뱅킹)
- blog.naver.com (네이버 블로그)
- ebank.keb.co.kr (외환은행 인터넷 뱅킹)
- ezbank.shinhan.com (신한은행 인터넷 뱅킹)
- mail.naver.com (네이버 메일)
- www.assembly.go.kr (대한민국 국회)
- www.auction.co.kr (옥션)
- www.chosun.com (조선일보)
- www.hannara.or.kr (한나라당)
- www.mnd.go.kr (국방부)
- www.mofat.go.kr (외교통상부)
- www.president.go.kr (청와대)
- www.usfk.mil (주한 미군)

[****국외 사이트****]
- finance.yahoo.com
- travel.state.gov
- www.amazon.com
- www.dhs.gov
- www.dot.gov
- www.faa.gov
- www.ftc.gov
- www.nasdaq.com
- www.nsa.gov
- www.nyse.com
- www.state.gov
- www.usbank.com
- www.usps.gov
- www.ustreas.gov
- www.voa.gov
- www.voanews.com
- www.whitehouse.gov
- www.yahoo.com
- www.washingtonpost.com
- www.usauctionslive.com
- www.defenselink.mil
- www.marketwatch.com
- www.site-by-site.com

* 변종에 따라 사이트 변경이 있을 수 있다.