English

◀◁ 뒤로 취약점ID 24074 위험도 40 포트 80, ... 프로토콜 TCP 분류 BackDoor 상세설명 Download.Ject 트로이목마가 해당 시스템에 감염된 것으로 나타난다. Download.Ject는 Microsoft IIS 서버들을 감염시키는 Java Script로 제작된 간단한 트로이목마(Download.Ject은 JS.Scob.Trojan, Scob, 그리고 JS.Toofeer로 알려져 있기도 하다.)로, 2004년 6월 24일 다수의 웹 사이트들에서 발견되었다. 보고서에 따르면 이 스크립트는 서버에 있는 실제 파일들을 수정하여 덧붙여 지는 것이 아니라 마이크로소프트의 IIS 서버에 있는 Footer라는 기능을 이용하여 덧붙여 진다. 트로이목마의 감염기능은 감염된 컴퓨터 상에서 IIS 웹 사이트들에 의해 서비스되는 모든 페이지들에 대해 Document Footer(문서 꼬리말)로써 트로이목마를 설정해 놓는다. 이로 인해, 트로이목마는 웹 서버들에 존재하는 모든 파일들, 예를들어 jpeg 파일과 같은 그림들에도 덧붙어져 나타난다. 트로이목마가 실행될 때 IIS 웹 서버 상에서 다음과 같은 행위들을 수행한다: 1. 현재 폴더에 ads.vbs 파일을 가져다 놓는다. 2. %System%\inetsrv\iisXXX.dll 라는 이름의 세 개의 파일을 가져다 놓는다. 이때 XXX는 세 개의 16진 숫자들이다. 3. iisXXX.dll 파일들 중의 하나를 Document Footer로 만들기 위하여 감염된 컴퓨터에 IIS 웹 사이트들의 구성을 수정한다. 이는 웹 서버에 의해 서비스되는 페이지들, 즉 .html, .jpeg, 그리고 .gif 파일들에 대해 JS.Scob.Trojan을 IIS가 덧붙여 주는 역할을 한다. Java script인 JS.Scob.Trojan 그리고 JS.Scob.Trojan!inf는 클라이언트에 대해 다음과 같은 일들을 수행한다: 1. 만약 파일이 HTTPS를 통해서 액세스되지 않고 트로이목마가 컴퓨터에서 현재 정상적인 쿠키를 설정하지 않았다면 217.107.218.147에 위치한 JavaScript 파일을 수행한다. 2. 그리고 나서 트로이목마는 일주일만에 만료되는 쿠키를 설정한다. 이 쿠키는 "trk716" 문자들로 시작한다. * 참고 사이트: http://www.symantec.com/avcenter/venc/data/js.scob.trojan.html http://www.f-secure.com/v-descs/scob.shtml * 영향을 받는 플랫폼: Microsoft Windows Any version 해결책 백신 프로그램 (안티바이러스 프로그램)을 이용하여 다음 절차를 따라 감염된 컴퓨터로부터 바이러스들을 제거하여야 한다: 1. 시스템 복원(System Restore)을 사용중지 시킨다(Windows Me/XP). 2. 바이러스 업데이트를 최신으로 업데이트한다. 3. 시스템 전체를 점검하여 JS.Scob.Trojan!inf, JS.Scob.Trojan!inf 혹은 JS.Scob.Trojan!dr로 발견되는 모든 파일들을 삭제하거나 치료한다. 4. IIS 웹 사이트의 Document Footer 설정을 재설정한다. a. 인터넷 서비스 관리자에서 각 웹 사이트에 대해 오른쪽 마우스 버튼을 클릭하고 등록정보로 간다. b. 원래의 값들로 설정을 되돌리기 위해 텍스트 박스에 있는 dll 경로명을 삭제하고 "Document Footer 사용" 체크 박스에서 체크를 없앤다. IIS에 있는 사용자 정의 Document Footer를 사용한다면 해당 파일의 위치로 이동하여 파일을 Document Footer로 선택한다. -- 그리고 -- 다음 Microsoft Security Bulletin MS04-011을 참조하여 시스템에 적절한 패치를 적용하여야 한다: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)