English

◀◁ 뒤로 취약점ID 24036 위험도 40 포트 10607 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Coma 백도어가 발견된다. Coma는 1999년 3월에 비쥬얼베이직 5(Visual Basic 5)으로 작성된 트로이 목마 프로그램으로 오래되어 현재에는 대부분 사용하지 않는다. 이 백도어 프로그램은 comaclient.exe(에이전트 프로그램), comserv.exe(서버 프로그램) 파일로 구성되어 있으며 디폴트 포트로 변경이 불가능한 10607 TCP 포트를 사용한다. 이 백도어가 동작하기 위해서는 Msvbvm50.dll and Mswinsck.ocx 파일이 필요하다. 만약, 이 백도어 프로그램이 시스템에 동작하고 있다면 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 위치에서 C:\Windows\Msgsrv36.exe 값을 가진 "RunTime" 키가 발견된다. 원격지 공격자들은 이 Coma 백도어를 이용하여 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 서버 시스템과 채팅 - 서버 프로그램 종료 - 임의의 프로그램 실행 - FTP를 통해서 파일 전송 - 시스템 정보 유출 - Listen (?) - 메시지 전송 - CD-ROM 열기/닫기 - 메시지 출력 - 서버 프로그램 제거하기 - 명령어 전달 * 취약한 플랫폼: Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/reference/vuln/Coma_Response.htm http://www.dark-e.com/archive/trojans/coma/index.shtml http://www.iss.net/security_center/static/2386.php 해결책 시스템에서 백도어를 제거해야 한다. 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 'RunTime' 키를 제거한다. 2. 컴퓨터를 재부팅하거나 Msgsrv36.exe 종료한다. 4. 윈도우즈 시스템 디렉토리로부터 Msgsrv36.exe 파일을 제거한다. -- 또는 -- 백신 프로그램을 사용하여 치료한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)