Win-Trojan/Xema.variant 2008.06.24 다른이름 위험도 2 등급 확산위험도 4 등급 현재확산도 4 등급 종류 드롭퍼 감염형태 실행파일 감염OS 윈도우 95 감염경로 파일실행,네트워크,다른 악성코드 제작지 국내발견일 2008-06-24 검사 Y 치료 Y V3 치료엔진 2008.06.24.02 특정활동일 특정일 활동 없음 [증상] Win-Trojan/Xema.variant 는 트로이목마의 일종으로, 특정 폴더에 특정 파일과 자기 복제본을 생성한다. [내용] * 전파 경로 자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드 해 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다. * 실행 후 증상 - 실행 후 레지스트리와 파일을 은폐하는 기능을 수행한다. [파일 생성] 윈도우 시스템 폴더에 다음 파일을 생성한다.  - coei32 주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다. [사이트 접속] 해당 사이트로 사용자의 개인정보를 전송하거나 사용자가 입력하는 키보드 입력 값을 가로채어 전송한다. 또한 다양한 악의적인 스크립트를 실행하는 경우도 있다. 접속을 시도하는 리스트는 다음과 같다. 2*1.1*0.18.114 주) 일부 주소는 * 로 처리하였다. 생성한 자신의 복사본을 정상 lsass.exe 프로세스의 핸들을 오픈하여 다음의 시스템으로 역접속을 시도한다. 접속이 성공하게 되면 공격자의 명령에 따라 다음 기능을 수행한다. -악의적인 기능 -키로깅 기능 -프록시 기능 -파일 다운로드 및 실행 -시스템 및 사용자 정보 수집 [치료방법] V3로 치료 가능합니다.