English

◀◁ 뒤로 취약점ID 24066 위험도 40 포트 7614 프로토콜 TCP 분류 BackDoor 상세설명 해당 Windows 시스템에서 Wollf16 백도어가 발견된다. 백도어 Wollf는 Windows 플랫폼에서 동작하도록 마이크로소프트 비쥬얼 C++(MS Visual C++)로 작성된 트로이 목마 프로그램이다. 이 백도어는 자신을 서버로서 자체 설치하고 33333번 혹은 7614번 TCP 포트를 통해 인증되지 않은 사용자가 접근하도록 허용한다. 일단 백도어가 설치되고 나면, 다음 레지스트리 키: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"에 WININIT.EXE 또는 WRM.EXE 또는 WGUI.EXE 또는 WOLLF.EXE이 등록된다. 공격자들은 이 백도어를 이용하여 다음과 같은 악의적인 행위를 수행할 수 있다. - 원격 명령어 실행 - 시스템 정보 획득 - 동작하고 있는 프로세스 정보 또는 죽이기 - 파일 다운로드 또는 업로드 - Telnet 과 FTP 접속 - 키 스트로그(key Stroke) * 참고 사이트: http://securityresponse.symantec.com/avcenter/venc/data/backdoor.wollf.16.html * 영향을 받는 플랫폼: Microsoft Windows Any version 해결책 백신 프로그램(안티바이러스 프로그램)을 이용하여 감염된 컴퓨터로부터 백도어를 제거하여야 한다. -- 또는 -- 다음 절차를 따라 수작업으로 백도어을 제거한다: 1. 메모리로부터 백도어 프로세스의 작동을 종료시킨다. 1) CTRL+SHIFT+ESC를 누른 다음 윈도우즈 작업 관리자를 클릭한다. 그리고 프로세스 탭을 클릭한다. 2) 작동중인 프로그램들의 리스트에서 프로세스 백도어 프로세스를 찾는다. 3) 백도어 프로세스를 선택하고 프로세스 끝내기 버튼을 클릭한다. 4) 작업 관리자를 닫는다. 알림: 위의 절차에 의해 메모리로부터 백도어 프로세스가 종료되지 않는다면 시스템을 재시작 하여야 한다. 2. 시스템 시작과 함께 자동 실행되지 않도록 레지스트리로부터 자동시작 엔트리를 제거하여야 한다: 1) 레지스트리 편집기를 연다. 이를 위해 시작>실행을 클릭, regedit를 타이핑, 그리고 나서 엔터키를 누른다. 2) 좌측 윈도우로부터 다음을 더블클릭한다: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 3) 우측 윈도우에서 다음 엔트리를 찾아 삭제한다: WININIT.EXE 또는 WRM.EXE 또는 WGUI.EXE 또는 WOLLF.EXE 4) 레지스트리 편집기를 닫는다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)