이름 : VBS/Autorun-QO
구분 : 바이러스/스파이웨어
종류 : 웜
전파방법 :
(1) 이동가능한 저장매체
(2) 네트워크 공유
영향받는 운영체제 : 윈도우
VBS/Autorun-QO는 "THIS IS AN ANTI-VIRUS AND WILL HELP YOUR SYSTEM TO WORK PROPERLY(이것은 백신 프로그램으로 시스템의 기능을 원할히 할 것이다.)" 와 "RAHUL THE H@CkEr".라는 텍스트 정보를 보여준다.
VBS/Autorun-QO는 LOVERAHULSAS.vbs.로서 접근가능한 드라이브와 시스템 폴더에 자신을 복사한다.
VBS/Autorun-QO는 autorun.inf와 함께 전파된다. 이 autorun.inf 파일은 VBS/Autorun-QO로 발견된다.
아래의 레지스트리가 생성된다.
HKCU\Software\Microsoft\Internet Explorer\Main
Window Title
"RAHUL THE H@CkeR"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
0
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
explorer.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe, <System>\wscript.exe <System>\LOVERAHULSAS.VBS
악성코드에 의해 선택된 페이지가 인터넷 익스플로어 시작화면으로 변경되도록 아래의 레지스트리가 수정된다.
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page
K
