*감염 경로

네이트온 쪽지 기능을 통해 전파되며 쪽지에 링크된 주소를 클릭하면 해당 트로이안을 다운로드 받으며 이 트로이안을 실행하면 여러 악성코드들을 드롭시킨다. 또한 네이트온에 등록되어 있는 주소록으로 아래와 같은 동일 쪽지를 전송하여 전파시킨다.

*증상

-파일 생성

윈도우 시스템 폴더 serfarcp.dll, nwizsys32.exe, nwizsys32.dll, coinme.exe 파일을 생성한다. 또 윈도우 시스템 폴더\drivers 폴더에 windf.hlp, windf.hlp, 파일을 생성한다.

-윈도우 시스템 폴더란?

-          윈도우 95/98/ME     - C:\Windows\System,

-          윈도우 NT/2000      -C:\WinNT\System32

-          윈도우 XP           - C:\Windows\System32

-레지스트리 등록

레지스트리에 다음 값을 추가해 윈도우 시작 시 자동으로 실행되도록 한다. 

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load= C:\WINDOWS\system32\coinme.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
DF= C:\WINDOWS\system32\drivers\windf.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{683f21A6-DAAD-30A4-5ACD-D96750A35C28}
StubPath= C:\WINDOWS\system32\nwizsys32.exe 1

- 해당 트로이안은 다른 악성코드들을 생성하며 생성된 악성코드들은 온라인 게임을 사용자 정보를 유출한다. 또한 강아지 사진을 보여줌으로 해서 사용자로 하여금 의심 하지 않도록 만든다.