*증상

Trojan-W32/Agent.246975 가 실행되면 윈도우 폴더에 무작위로 폴더를 생성하여 임의의 이름으로 파일을 생성. 자신을 복사한다.

- “윈도우 폴더\임의의 폴더\임의의 이름.exe”
- ex)
         (windows 9x, xp) 
          inertinfo.exe = c:\windows\ msdownld.tmp\4S0.exe 

          (windows 2000, NT)
           inertinfo.exe = c:\WinNT\ msdownld.tmp\4S0.exe

레지스트리에 자신의 value값을 등록시켜 윈도우 구동 시 Trojan-W32/Agent.246975 가 자동으로 실행되도록 한다. 이때 value 값은 아래와 같이 랜덤 생성된다.

-HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\ CurrentVersion\Run

Ex)

8자리    value 값    "BEaz4Y3R"              = "윈도우 폴더 \msdownld.tmp\4S0.exe"
9자리    value 값    “"EoCmTrTCh"          = "윈도우 폴더\ime\1rz.exe"”
10자리  value 값    "7QzbugKzLx"           = "윈도우 폴더\shellnew\NYd.exe"
11자리  value값     "0Y5l3MhOq9p"         = "윈도우 폴더\fonts\AbG8Ed.exe"
12 자리 value 값    "1HGH00VhMHG6"     = "윈도우 폴더\cursors\0dF.exe"
13자리  value 값    "2Cw8nEKaMMMnh"  = "윈도우 폴더\offline web pages\qH2UC.exe"
14자리  value 값    "1C4dXrLa4D4KV0"    = "윈도우 폴더\cursors\O5X6.exe"

*여기서 윈도우 폴더란 9x,XP 에서는 windows폴더를 뜻하고 2000,NT 에서는 winNT를 뜻한다.
증상) 시스템의 날짜와 파일의 생성 날짜를 랜덤하게 바꾼다.

Ex) 시스템 날짜와 시간이나 파일의 생성 시간을 1980-04-12오후 11:45분 이나 1985-07-12-22 오전 04:33과 같이 무작위로 변경시킴

특정 사이트에 접속하여 사용자 동의 없이 스파이웨어를 다운로드 한다.

- time.(생략).com 과 distribute.(생략).com

이 스파이웨어는 사용자가 인터넷 주소창에 한글 키워드를 입력할 경우, 유명 사이트는 연결되지만 다른 키워드를 입력 할 키워드와 관련된 광고 사이트로 접속 됨.

이 스파이웨어는 자사 제품인 스파이 백신에서 Adware/OnfindSearch 라는 이름으로 진단/치료 된다.