English

◀◁ 뒤로 취약점ID 24020 위험도 40 포트 555 프로토콜 TCP 분류 BackDoor 상세설명 백도어 phAse Zero가 설치되어 있다. 이 백도어는 침입자가 시스템의 제어권을 가지고 갈 수 있게 해준다. phAse Zero 백도어를 가지고 Attacker는 다음과 같은 일들을 할 수 있다: - FTP를 이용하여 파일들을 업로드하거나 다운로드할 수 있다. - 프로그램들을 실행시킬 수 있다. - 파일들을 삭제하거나 옮길 수 있다. - 레지스트리를 읽거나 쓸 수 있다. - 'Trash Server' 명령어로 윈도우즈 시스템 디렉토리에 있는 모든 파일들을 삭제할 수 있다. phAse Zero는 윈도우즈시스템에서 작동한다. 디폴트로 phAse Zero는 TCP 포트 555를 사용한다. 이 포트는 서버 셋업 프로그램으로 쉽게 변경될 수 있다. * 참고 사이트: http://xforce.iss.net/alerts/advise30.php http://www.iss.net/security_center/static/2326.php * 영향을 받는 플랫폼: Microsoft Windows Any version 해결책 phAse zero 백도어를 제거하기 위해서는: 1. Regedit를 사용하여 HKLM\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리 키를 찾는다. 2. C:\Windows\System\msgsrv32.exe의 데이타 값을 갖는 msgsrv32.exe라는 이름의 레지스트리 엔트리를 찾는다. 이 레지스트리 엔트리를 찾을 수 없다면 phAse zero 레지스트리 엔트리를 찾아내기 위해 아래에 있는 단계를 참조한다. 3. 레지스트리 엔트리를 삭제한다. 4. 윈도우즈 시스템 디렉토리에서 msgsrv32.exe를 삭제한다. phAse zero 레지스트리 엔트리를 찾아내고 phAse zero 백도어를 제거하기 위해서는: 1. HKLM\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리 키에서 엔트리들을 살펴본다. 2. 알 수 없는 프로그램들에 대한 레지스트리 엔트리들을 찾아낸다. 이 의심스러운 프로그램들 중의 하나가 phAse zero 일 수 있다. 그 데이타 값은 윈도우즈가 시작될 때 실행되는 실행 파일에 대한 파일과 경로명을 포함하고 있다. 3. Notepad를 사용하여 각각의 의심스러운 실행 파일을 오픈해 본다. 4. 그 파일이 phAse zero 실행 파일인지를 결정하기 위해 각 파일에서 phAse zero 단어를 찾아본다. 5. phAse zero 단어를 포함하고 있는 실행 파일을 삭제한다. 6. Regedit를 사용하여 HKLM\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리 키에서 이 실행 파일을 포함하는 엔트리를 삭제한다. 관련 URL CVE-1999-0660 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)