러스의 그 변형은 애드웨어로 사용자에게 광고를 보여주는 프로그램인데 광고를 받아오는 서버가 다운되어 서버에 접속하지 못해 프로그램이 오동작을 일으켜 시스템에 영향을 미치는 것으로 추정된다. 2003.11.10에는 원형을 포함에 3가지 변형이 발견되었는데 발견 이전에 이미 많은 시스템에 설치된 것으로 보이며 이 프로그램의 문제로 다른 프로그램이 제대로 실행되지 않아 발견되었다.
현재까지 정확한 감염 경로는 밝혀지지 않았지만 자체 전파 기능이 없으므로 해킹, 스팸메일 혹은 특정 홈페이지 접속 시 트로이 목마를 설치시키는 것으로 추정된다.
18. 오토루터 트로이목마 바이러스
최초발견일은 2003년8월3일이고 국내에서는 다음날 발견되었다.
오토루터 트로이목마 바이러스는 RPC취약점을 공격할 수 있는 트로이 목마를 가지고 있으며 외국에서 발견 사례가 있은 후 국내에서 접수를 받았다.
트로이목마가 실행되면 내부적으로 정의된 A,B,C,D,클래스 대역의 랜덤한 IP를 대상으로 TCP445포트를 스캔하게 된다. 스캐닝하면서 존재하는 실제 IP와 포트가 오픈된 시스템을 만나면 RCP취약점을 공격할 수 있는 오토루터를 이용하여 해당 시스템에 패킷을 전송하여 TCP57005 포트를 오픈 해 둔다.
이후 오토루터트로이목마 바이러스의 Dropper나 또는 IRCBot을 설치 할 수 있게 된다. IRCBot이 설치되면 Offer에 의해서 해당 시스템은 원격제어를 당할 수도 있다.
19. 랄레카 웜바이러스
최초발견일은 2003년8월28일이고 국내발견일은 2003년9월3일이다.
랄레카 웜 바이러스는 블래스터 웜이나 웰치아 웜과 같이 RPC DCOM취약성을 이용해 전파된다. 웜 파일이 실행되면 특정 사이트에서 여러 파일을 다운로드 받아 실행한다. 윈도우 업데이트가 되지 않은 시스템을 찾아 감염을 시도하며 이 과정에서 과도한 네트웍 트래픽 증가로 시스템 속도가 현저히 느려질 수 있다. 웜은 윈도우2000/XP의 취약성을 이용하므로 패치를 하지 않으며 근본적으로 감염을 막을 수 없다.
20. 사세르 웜 바이러스
최초발견일은 2004년 4월30일이고 국내에는 2004년5월1일 오전에 최초 보고 되었다. 전파경로는 MS04-011취약점을 이용해 전파된다. 웜은 임의의 IP로 접속을 시도해 상대방이 응답이 있을 경우 이상 패킷을 보낸다. 취약점이 존재하는 시스템일 경우 에러가 발생하거나 감염된다. 사세르 윔의 증상은 윈도우 폴더에 avserve.exe파일이 만들어 지고 TCP445번 포트 접속시도가 증가하며 윈도우 시스템 폴더에 파일 이름이 숫자 up.exe로 된 다수의 파일이 만들어 진다. 감염후 일정 시간이 지나면 CPU사용이 100%까지 올라가며 컴퓨터의 속도가 느려지고 보안 패치 안된 시스템이 공격 패킷을 받을 경우 에러가 발생하며 시스템이 자동 종료 되는 경우도 있다.
21. 스파이봇 웜 바이러스
최초 발견일은 2003년8월13일이고 국내에서는 15일날 발견되었다.
이 웜은 위도우 NT계열의 RPC DCOM 버퍼 오버플로우 취약점을 이용하여 전파 되며 웜이 실행되면 tftp.exe파일을 삭제하고 윈도우 시스템폴더에 winlogin.exe, yuetyutr.dll파일을 생성하고 레지스트리를 수정하여 윈도우 부팅시 웜이 자동 실행되도록 한다. 실행된 winlogin.exe파일은 yuetyutr.dll파일이 익스플로어 파일과 함께 실행되도록 하여 “작업관리자”등에 응용 프로그램이나 프로세스로 확인 할 수 없도록 한다. 이 웜은 특정 IRC서버채널 방에 접속해 방장의 명령에 따라 다른 시스템 공격 기능이 있으나 테스트시에는 해당 컴퓨터에서 응답이 없어 특별한 이상증상은 발생하지 않았다.