*감염 경로

사용자가 인터넷에서 파일을 다운로드 하거나 다른 악성코드에서 설치하는 것으로 추정됨

*증상

감염된 시스템은 윈도우 방화벽 종료, 복원 작업 중지등 악의적인 기능을 수행한다.

-파일 생성

윈도우 폴더에 services.exe라는 파일을 생성한다.

-윈도우 폴더란?

-          윈도우 95/98/ME/XP  - C:\Windows\

-          윈도우 NT/2000       -C:\WinNT\

윈도우 시스템 폴더에 winkey.dll(Backdoor-W32/Prorat.245760.C), reginv.dll(Backdoor-W32/Prorat.36864.B), Fservice.exe 라는 파일을 생성한다.

-윈도우 시스템 폴더?

-          윈도우 95/98/ME     - C:\Windows\System,

-          윈도우 NT/2000      -C:\WinNT\System32

-          윈도우 XP           - C:\Windows\System32

\WINDOWS\system sservice.exe 라는 파일을 생성한다.

-레지스트리 등록
 레지스트리에 다음 value를 등록해 윈도우 구동시 자동 실행되도록 만든다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
DirectX For Microsoft?Windows = 윈도우 시스템 폴더\fservice.exe

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe 윈도우 시스템 폴더\fservice.exe