*감염 경로

파일 자체에는 스스로 확산되는 기능은 없으며, 사용자가 인터넷을 통해 메일, 게시판, 자료실 등에서 실행파일을 다운로드 해 실행되는 것으로 추정, 또한 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 추정

*증상

- 파일 생성

윈도우 시스템 폴더에 다음 파일을 생성한다.

 - twext.exe (318,464 바이트)

-윈도우 시스템 폴더란?

-          윈도우 95/98/ME     - C:\Windows\System,

-          윈도우 NT/2000      -C:\WinNT\System32

-          윈도우 XP           - C:\Windows\System32

- 레지스트리 등록
레지스트리에 다음 값을 추가해 윈도우 시작 시 자동으로 실행되도록 한다.

HKLM\
      SOFTWARE\
            Microsoft\
                  Windows NT\
                         CurrentVersion\
                              Winlogon
userinit = "C:\윈도우 시스템 폴더\userinit.exe,c:\windows\system32\twext.exe,"

[파일 다운로드]

아래의 사이트에서 악의적인 파일을 다운로드 시도한다.

7*.2**.1**.***

일부 주소는 * 로 처리하였다.