2006년 4월 19일 오전부터 시스템 날짜가 1900년, 1924년, 1953년 등 과거로 바뀌는 증상을 호소한 사용자가 증가했다. 문제의 시스템 확인 결과 이상 증상을 발생하는 트로이목마를 발견했다.

현재까지 이 트로이목마의 확산 경로는 확인되지 않았다.

[파일 생성]

Win-Trojan/Downloader.225597가 실행되면 윈도우 폴더의 임의의 폴더(inf, twain_32 등)에 임의의 이름으로(TOB6cbyR.exe, 8SurX7.exe 등)으로 자신을 복사한다. 생성되는 파일의 길이는 225,597 바이트이다.

[레지스트리 등록]

레지스트리에 다음 값을 추가해 윈도우 시작 시 자동으로 실행되도록 한다.

   HKEY_LOCAL_MACHINE\
      SOFTWARE\
         Microsoft\
            Windows\
               CurrentVersion\
                  Run

시스템에 복사된 파일명과 실행된 파일명이 등록된다.
예) MX90TsIB = C:\WINNT\csc\M7GPC77Yg.exe C:\8SurX7.exe

[접속 시도]

time.researchsy (생략).com 과 distribute.researchs(생략).com에 접속한다. 이러한 행동은 시스템 날짜를 변경하기 위한 것과 이 사이트에서 지정된 파일을 시스템에 다운로드 하기 위해서이다.

[다운로더 증상]

다운로드 되는 파일은 2개로 알려졌으나 정보를 최초작성했던 2006.04.19 에는 한개의 파일만 다운로드가 가능 했다. 이 파일 역시 다운로더로 V3는 Win-Trojan/Downloader.28672.Q 로 진단 한다. 이 파일은 URLSearchHook 기능이 있는 국산 스파이웨어 모듈을 다운로드 한다. 이 모듈은 인터넷 익스플로러를 백그라운드로 실행하여 특정 사이트에 접속을 시도한다. 이후 인터넷 익스플로러가 실행될 때마다 동작하여 브라우저 주소표시줄에 한글 또는 특정 단어 입력시 지정된 웹 사이트 이동 및 광고 링크를 보여준다. 스파이웨어 모듈이라 V3는 이를 진단하지 않고 스파이제로에서는 'Win-Adware/OnFindSearch.45056' 로 진단 / 치료 한다.

2006.04.20 에 확인된 내용은 'Win-Trojan/Downloader.225597' 트로이목마가 다른 증상을 같은 파일을 다운로드 하는 것으로 밝혀졌다. 다운로드 하는 파일은 작일 다운로드 되지 않았던 파일도 다운로드 되었다. 다운로드 되는 파일은 국내에 있는 타임서버에서 접속하여 올바른 시간을 받아 온다. 그리고 자신을 윈도우 하위 폴더에 랜덤한 이름으로 복사한다. 그리고 시스템이 실행될 때 마다 실행되도록 레지스트리에 기록하고 타임서버로부터 올바른 시간 정보를 받아온다.

[기타 기능]

- 2006.4.20 분석정보

시스템 날짜 변경증상은 2006.04.19 에 발견된 ''Win-Trojan/Downloader.225597' 에 의해서 행하여 졌다. 그러나 정보를 갱신하는 2006.04.20 에 해당 트로이목마는 올바른 시간 정보를 받아오는 파일을 다운로드하여 시간을 정상적으로 돌려둔다.

- 2006.04.19 분석정보

시스템 날짜와 시간을 임의로 변경한다. 보통 시스템 날짜를 1900년, 1923년, 1954년 등과 같이 19xx 년으로 변경하고 간혹 달과 일만 변경되기도 한다.

시스템에 존재하는 모든 파일의 작성 시간이 1시간 뒤로 변경하기도 한다.
예) 오후 6시 46분 50초 -> 오후 7시 46분 50초로 변경

출처 : 안철수연구소