*감염 경로

MS 보안 패치를 적용하지 않은 인터넷 사용자가 해킹된 사이트에 접속하면 자동으로 다운로드 되어 설치된다.

윈도우 폴더에 alg.exe (Trojan-W32/Maran.34826.C) 라는 파일을 생성한다.

- 윈도우 폴더란?

-          윈도우 95/98/ME/XP  -C:\Windows,

-          윈도우 NT/2000      - C:\WinNT

윈도우 시스템 폴더에 okviewer4.dll(Trojan-W32/Maran/105984.B)라는 파일을 생성한다.

-윈도우 시스템 폴더?

-          윈도우 95/98/ME/XP  - C:\Windows\System,

-          윈도우 NT/2000      -C:\WinNT\System32

-          윈도우 XP           - C:\Windows\System32

-레지스트리 등록

레지스트리에 다음 value를 등록해 윈도우 구동시 자동 실행되도록 만든다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCIDown

- (윈도우 폴더)\alg.exe

- LSP(Layered Service Providers) 등록

 아래의 레지값을 변경하여 인터넷 실행시 okviewer4.dll이 실행되도록 한다.

 okviewer4.dll삭제시 lsp값을 복구 시켜줘야 정상적으로 네트워크 사용이 가능하다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2