(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

Backdoor-W32/AimBot.214528

바이러스 종류

Backdoor

실행환경

Windows

발견일

2006년06월28일

제작지

불분명

위험등급

위험

확산방법

네트워크, 보안취약점

바이러스 크기

214,528 Byte

첨부파일

메일제목

증상요약

타켓이 되는 시스템의 정보수집 및 여러가지 악성 기능 수행

치료방법

터보백신 제품군으로 진단/치료 가능합니다.

상세설명

*감염 경로

네트워크 공유 폴더와, 윈도우 보안패치 헛점등을 이용해서 전파 및 설치된다.

-사용자 계정의 취약한 암호에 의해 감염

admin
server
asdfgh
!@#$%
!@#$%
!@#$%
654321
123456
12345
administrator

윈도우 NT계열(윈도우 NT,2000,XP)의 관리 목적 공유폴더에 대한 사용자 로그인 계정의 암호가 위와 같이 취약한 경우 시스템에 접속 후 실행.

*증상

윈도우 폴더에 taskshed.exe 라는 파일을 생성한다.

-윈도우 폴더란?

-윈도우 95/98/ME/XP - C:\Windows

-윈도우 NT/2000 -C:WinNT

윈도우 시스템 폴더에 remon.sys 라는 파일을 생성한다.

-윈도우 시스템 폴더란?

-윈도우 95/98/ME -C:\Windows\System

-윈도우 NT/2000 -C:\WinNT\System32

-윈도우 XP -C:Windows\System32

-레지스트리 등록

레지스트리에 다음 value를 등록해 윈도우 구동시 자동 실행되도록 만든다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler
ObjectName = localsystem

레지스트리에 다음 value 를 등록해서 윈도우 시작시 서비스로 실행되도록 만든다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon
ImagePath = 윈도우 시스템 폴더\remon.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler
ImagePath = 윈도우 폴더\taskshed.exe

감염된 시스템은 TCP 임의의 포트를 LISTENING 상태로 열어둔다. (상대로부터 접속을 기다리는 상태)

그 후 사용자 몰래 접속 해 스팸 메일 발송, 애드웨어 설치, 데이터 삭제, 그리고 개인의 컴퓨터 사용 내역을 훔쳐보거나 각종 파일(개인 문서, 기밀 문서 등)을 외부로 빼가는 보안상 문제도 발생할 수 있음

백도어로서 동작 하게되면, 다음과 같은 시스템 오동작이 일어날 수 있다.

1. 파일 실행및 삭제
2. 포트감시
3. 키보드 타이핑 내용 저장
4. 파일 다운로드
5. ftp및 IRC 서버로 동작가능
6. 시스템 하드웨어 정보 수집

그리고 이 백도어는 LSASS 보안헛점 등 윈도우 보안 취약점을
이용하므로, 다음 보안패치를 권고한다.

MS03-039 RPC DCOM2 취약점
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp

MS04-011 Microsoft Windows용 보안 업데이트 중 LSASS 취약점 http://www.microsoft.com/korea/technet/security/bulletin/ms04-011.asp

MS05-039 플러그 앤 플레이의 취약점으로 인한 원격 코드 실행 및 권한 상승 문제점 http://www.microsoft.com/korea/technet/security/bulletin/MS05-039.mspx

예방 및 수동조치방법