*감염 경로

네트워크 공유를 통해서 전파된다.

*증상

감염되면 시스템폴더를 제외한 exe파일은 감염이 되며, 감염된 디렉토리안에 desktop_.ini를 생성한다.  

또한 시스템 폴더에 자신을 복제하며 레지스터리에 등록하여 재부팅시 자동 실행되도록 한다.

그리고 정상 HTML 문서에 iframe 삽입하여 악성코드를 다운로드한다.

-파일 생성

윈도우 시스템 폴더\drivers\ 폴더에 spoclsv.exe라는 파일을 생성한다.

-          윈도우 95/98/ME/XP  - C:\Windows\System,

-          윈도우 NT/2000      -C:\WinNT\System32

-          윈도우 XP           - C:\Windows\System32

-레지스트리 등록 

레지스트리에 다음 value를 등록해 윈도우 구동시 자동 실행되도록 만든다.  

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare =윈도우 시스템 폴더\drivers\spoclsv.exe

-다음 레지스트리값 변경

아래 레지스트리값을 변경하여 숨김 파일을 볼 수 없게 만든다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue=0

-레지스트리 삭제

아래에 해당하는 레지스트리 키를 삭제한다.

sharedaccess
RsCCenter RsRavMon KVWSC
KVSrvXP
kavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP

SOFTWARE\Microsoft\Windows\CurrentVersion\Runkav

SOFTWARE\Microsoft\Windows\CurrentVersion\RunKAVPersonal50

SOFTWARE\Microsoft\Windows\CurrentVersion\RunMcAfeeUpdaterUI

SOFTWARE\Microsoft\Windows\CurrentVersion\RunNetwork Associates Error Reporting Service

SOFTWARE\Microsoft\Windows\CurrentVersion\RunShStatEXE

SOFTWARE\Microsoft\Windows\CurrentVersion\RunYLive.exe

SOFTWARE\Microsoft\Windows\CurrentVersion\Runyassistse


-프로세스 종료

다음 실행 중인 프로세스를 강제 종료 시킨다.

Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe

-파일 다운로드

아래의 파일을 다운로드한 뒤   윈도우 시스템 폴더에 저장 한다.

- cimemli.exe
- cimemost.dll
- dllf.dll