0825jpg.scr (V.DRP.Onlinegames) 은 네이트온 쪽지로 전파되는 웜입니다.
1. 파일 실행 시 압축해제
C:\Documents and Settings\User\Local Settings\Temp\RarSFX0 폴더에 다음 파일을 생성합니다.
3in1.exe (S.SPY.OnLinegames.ctk)
6in1.exe (S.SPY.Onlinegames-JN)
404.jpg JPG파일
aass01.exe (V.WOM.NateOn.cos)
kkkgame.exe (S.SPY.Onlinegames-JN)
2. 생성파일
C:\WINDOWS\system32\hfdf0703.exe (S.SPY.Onlinegames-JN)
C:\WINDOWS\system32\hfdf0703.dll (S.SPY.Onlinegames-JN)
C:\WINDOWS\system32\nwizsys32.dll (S.SPY.OnLinegames.ctk)
C:\WINDOWS\system32\nwizsys32.exe (S.SPY.OnLinegames.ctk)
C:\WINDOWS\system32\sdgv4xa.dll (V.WOM.NateOn.cos)
C:\WINDOWS\system32\Drivers\windf.EXE (S.SPY.Onlinegames-JN)
C:\WINDOWS\system32\Drivers\windf.hlp (S.SPY.Onlinegames-JN)
3. 레지스트리
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
"AAAA"="C:\WINDOWS\system32\hfdf0703.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
"DF"="C:\WINDOWS\system32\drivers\windf.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{683f21A6-DAAD-30A4-5ACD-D96750A35C28}
"StubPath"="C:\WINDOWS\system32\nwizsys32.exe 1"
생성 된 파일 대부분이 사용자계정과 패스워드를 가로채는 스파이웨어입니다.
저작권은 저작권자에게 있습니다.
엘뤼아르
sH4
추가적인 특징으로 쪽지를 오프라인상태에서 보내게 됩니다.
이는 수동으로 사람이 직접하는거 같기도 합니다.