이름 : Troj/FakeAV-DV
구분 : 바이러스/스파이웨어
종류 : 트로이
영향받는 운영체제 : 윈도우
영향 :
(1) 더 많은 악성코드를 둔다.
(2) 레지스트리에 자신을 설치한다.
Troj/FakeAV-DV는 윈도우 기반 트로이이다.
Troj/FakeAV-DV는 HTTP를 통해 원격 서버와 통신하고 인터넷에 접속하는 기능을 가진다.
Troj/FakeAV-DV를 동작시키기 위해 <System>\lphcee8j0elnp.exe에 자신을 복사하고 아래의 파일들을 생성한다.
<Temp>\.tt1.tmp.vbs
<System>\blphcee8j0elnp.scr
<System>\phcee8j0elnp.bmp
blphcee8j0elnp.scr는 Mal/EncPk-CZ로 발견되고 phcee8j0elnp.bmp는 Troj/FakeAV-CD로 발견되며 .tt1.tmp.vs는 VBS/InfSR-A로 발견된다.
lphcee8j0elnp.exe를 동작시키기 위해 아래의 레지스트리가 생성된다.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lphcee8j0elnp
<System>\lphcee8j0elnp.exe
blphcee8j0elnp.scr를 동작시키기 위해 아래의 레지스트리가 변경된다.
HKCU\Control Panel\desktop
SCRNSAVE.EXE
<System>\blphcee8j0elnp.scr
아래와 같이 레지스트리가 설정된다.
HKCU\Control Panel\desktop
ConvertedWallpaper
<System>\phcee8j0elnp.bmp
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoDispBackgroundPage
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoDispScrSavPage
1
HKCU\Control Panel\desktop
OriginalWallpaper
<System>\phcee8j0elnp.bmp
HKCU\Control Panel\desktop
wallpaper
<System>\phcee8j0elnp.bmp
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
GeneralFlags
0
아래의 레지스트리가 생성된다.
HKLM\SOFTWARE\Microsoft\Software Notifier
K
