English

◀◁ 뒤로 취약점ID 24022 위험도 40 포트 10167 프로토콜 UDP 분류 BackDoor 상세설명 Portal of Doom (PoD) 백도어는 Attacker들이 대상 시스템의 사용자가 모르게 시스템을 액세스하는데 사용할 수 있는 많은 백도어 프로그램들 중의 하나이다. 이 백도어는 전화접속 패스워드 훔쳐내기와 같은 진보된 특징 뿐만 아니라 메시지 보내기, 파일 읽기, 화면보호기 시작, 마우스 버튼의 조작와 같은 일반적인 백도어의 특징을 가지고 있다. Portal of Doom은 Windows 95나 98 시스템들에 있는 C:\Windows\System 디렉토리에 설치된다. C:\Windows\System 디렉토리가 디폴트 Windows NT 디렉토리는 아니지만 이 디렉토리가 존재한다면 이 백도어는 스스로 설치되고 Windows NT 하에서도 작동한다. Portal of Doom은 UDP 10067과 10167 포트를 Listen한다. 10167 포트로 "pod" 라는 3 바이트의 데이타를 보내면 백도어는 '[@]xforce' 를 보내준다. * 참고 사이트: http://www.iss.net/security_center/static/2323.php http://xforce.iss.net/alerts/advise30.php * 영향을 받는 플랫폼: Microsoft Windows Any version 해결책 감염된 시스템으로 부터 Portal of Doom 백도어를 제거하기 위해서는 다음과 같이 한다. 1. Portal of Doom 프로그램 (ljgz.exe)을 작동중지 시킨다. 이 프로세스는 일반적인 Windows 버전과는 다르다. - Windows 95/98: MS-DOS 모드로 시스템을 재가동시킨다. 명령 프롬프트에서 C:\Windows\System\ljsgz.exe을 삭제한다. - Windows NT: CTRL+ALT+DEL 키를 누른후, NT 작업 관리자를 띄운다. 프로세스 탭을 클릭하고 ljgz.exe을 찾아서 프로세스를 종료시킨다. 2. Regedit를 사용하여 HKLM\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리 키를 찾는다. 3. C:\Windows\System\lgsgz.exe의 데이타 값을 가진 레지스트리 엔트리의 문자열을 찾아서 레지스트리 엔트리를 삭제한다. 관련 URL CVE-1999-0660 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)