■ I-Worm.Win32.Brontok.42675
A. 감염 경로
I-Worm.Win32.Brontok.42675는 이동식디스크를 통한 자체적인 전파기능을 가지고 있으며, 해킹 당한 사이트에서
다운로드 되거나 패키지 프로그램에 의해 설치될 수 있다.
B. 감염 증상
1) I-Worm.Win32.Brontok.42675는 MEW로 패킹되어있으며 실행 시 다음과 같은 경로에 자가복제 후 다시 실행한다.
자가복제 경로 : %username%\AppData\Local\csrss.exe
자가복제 경로 : %username%\AppData\Local\inetinfo.exe
자가복제 경로 : %username%\AppData\Local\lass.exe
자가복제 경로 : %username%\AppData\Local\services.exe
자가복제 경로 : %username%\AppData\Local\smss.exe
자가복제 경로 : %username%\AppData\Local\winlogon.exe
자가복제 경로 : %username%\AppData\Local\at.exe
자가복제 경로 : %appdata%\Microsoft\Windows\Templates\Brengkolang.exe
자가복제 경로 : %appdata%\microsoft\windows\start menu\programs\startup
\empty.pif
[그림 1] 복호화된 코드 2) 레지스트리에 등록되어 부팅 시 자동으로 실행된다.
키 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
이름 : Tok-Cirrhatus
데이터 : %username%\AppData\Local\smss.exe (자가복제된 파일 중 랜덤)
3) 이동식디스크가 연결될 경우 폴더 이름과 동일한 파일을 생성한다.
- (이동식디스크)\(폴더)\(폴더이름).exe
[그림 2] 이동식디스크에 폴더 이름으로 복제파일 생성 4) C&C서버와 현재 통신이 되지 않아 현재는 추가적인 행위가 발생하지 않는다.
C&C주소 : www.geocities.com
C. 치료 방법
바이로봇 2006-03-22.00 이상 버전으로 치료된다.
D. 위험도
보통