*감염 경로

이 바이러스는 해킹된 특정 웹사이트를 통해서 유포되었으며, MS06-014 취약점이 존재하는 사용자가 해당 웹 사이트에 접속 시 자동으로 감염되도록 하고 있었다. 그러나 최근에는 웜이나 다른 악성코드에 결합되어 네트워크를 타고 접속된다.

*증상

1.감염되면 아래와 같은 문자가 포함된 폴더나 파일을 제외한 확장자가 exe파일이나 혹은 scr인 모든 파일이 감염이 된다.

- WINC
- WCUN
- WC32
- PSTO

2.감염된 파일을 실행하면 윈도우 시스템 프로세스인 Winlogon.exe 에 자신의 코드를 인젝션 해둔다.

3.아래와 같은 이벤트값을 Winlogon.exe에 발생 시켜 Winlogon.exe에 중복 인젝션 되는 것을 방지 시킨다.

VT_3

4.특정 서버로 접속을 시도하며 추가적으로 다른 악성코드의 다운로드를 시도한다.

Proxima.ircgalaxy.** (TCP 65520)

5.암호회 된 바이러스 코드내에 다음과 같은 문자열이 존재한다.

W32_Virtu