이름 : Troj/Bdoor-ALX
다른 이름 : Backdoor:Win32/Koceg.gen!B
구분 : 바이러스/스파이웨어
종류 : 트로이
영향받는 운영체제 : 윈도우
영향 : 레지스트리에 자신을 설치한다.

Troj/Bdoor-ALX는 윈도우 기반 트로이이다.

Troj/Bdoor-ALX는 HTTP를 통해 원격 서버와 통신하고 인터넷에 접속하는 기능을 포함한다.

Troj/Bdoor-ALX를 동작시키기 위해 아래의 위치에 자신을 복사한다.

<User>\cftmon.exe
<System>\drivers\spools.exe

cfmon.exe와 spools.exe를 동작시키기 위해 아래의 레지스트리들이 생성된다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ntuser
<System>\drivers\spools.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
autoload
<User>\cftmon.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ntuser
<System>\drivers\spools.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
autoload
<User>\cftmon.exe

아래의 레지스트리가 실행되거나 수정되면 확장자가 EXE인 파일이 열렸을 때 cfmon.exe가 실행된다.

HKCR\exefile\shell\open\command
(default)
<User>\cftmon.exe "%1" %*

spools.exe 파일은 Schedule라는 서비스로 등록된다. 레지스트리는 아래와 같이 생성되거나 수정된다.

HKLM\SYSTEM\CurrentControlSet\Services\Schedule