*감염 경로

자체적인 확산기능은 갖고 있지 않으며, 메일의 첨부파일로 유포되거나, 해킹된 웹 사이트를 통해 OS나 응용 프로그램의 보안 취약점을 이용하여 유포되기도한다.
또한 이동식 저장장치의 autorun기능을 이용하여 다른 시스템으로 확산되기도 한다.

*증상

- 파일생성

윈도우 시스템 폴더에 다음 파일을 생성한다.

 - lhgjyit1.dll

 - kacsde.exe

 - godert1.dll

시스템 루트폴더에 다음 파일을 생성한다.

 - lhgjyit1.dll

 - autorun.inf

- 레지스트리 등록

1. 윈도우 시작 시 자동으로 실행되도록 하기 위해 레지스트리키를 생성한다.

- HKEY_USERS\
        Software\
             Microsoft\
                   Windows\
                       CurrentVersion\
                             Run\
- 이   름 : anhtaaa
- 데이터 : (윈도우 시스템 폴더)\kacsde.exe

                                           
2. 다음의 레지스트리를 수정하여 숨김 속성의 파일들이 표시되지 않게한다.

- HKEY_LOCAL_MACHINE\
      SOFTWARE\
          Microsoft\
              Windows\
                  CurrentVersion\
                      Explorer\
                          Advanced\
                              Folder\
                                  Hidden\
                                      SHOWALL\

- 이   름 : CheckedValue
- 데이터 : 0x00000000

- 생성된 dll파일들은 실행중인 모든 프로세스에 삽입연동(Injection)하여 동작한다. 특정 온라인 게임의 계정정보를 유출하려는 시도가 주 목적이다.

- 외부의 사이트로부터 또 다른 패스워드 스틸러 악성코드를 다운로드 받는다. 접속하는 사이트는 다음과 같다.

- http://(생략).com/(생략)/(생략).rar

- 드라이브 루트에 autorun.inf파일을 생성하여 사용자가 루트 디렉토리에 접근할 경우 autorun.inf파일이 지정하고 있는 파일이 자동으로 실행된다.
이동식 저장장치를 사용할 경우 해당 이동식 저장장치에도 악성코드가 autorun.inf파일과 함께 복사됨으로써 다른 시스템으로 확산될 수 있다.