English

◀◁ 뒤로 취약점ID 24038 위험도 40 포트 16969 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Priority 백도어가 발견된다. Priority는 1999년 2월에 비쥬얼베이직 5(Visual Basic 5)으로 작성된 간단한 트로이 목마 프로그램이다. 이 백도어 프로그램은 PRIORITY.exe(에이전트 프로그램), PSERVER.exe(서버 프로그램) 파일로 구성되어 있으며 디폴트 포트로 변경이 불가능한 16969 TCP 포트를 사용한다. 이 백도어 프로그램은 PingPong 바이러스를 차단할 수 있다. 만약, 이 백도어 프로그램이 시스템에 동작하고 있다면 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices' 위치에서 C:\Windows\System\PServer.exe 값을 가진 "PServer" 키가 발견된다. 원격지 공격자들은 이 Priority 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 경적 울리기 - 블랙 스크린 만들기 - 서버/클라이언트 채팅 - 서버 프로그램 종료 - 현재 접속 중인 클라이언트 수 검색 - 작업 표시줄 숨김 - ICQ 패스워드 가로채기 - 마우스 잠금 - 어플리케이션 윈도우 창 최소화 - 웹페이지 열기 - CD-ROM 열기/닫기 - pingpong 허용/금지 - 어플리케이션 실행 - 메시지 보내기 - 이미지 보기 - 시스템 종료 - 마우스 버튼 바꾸기 - 작업 관리 - 윈도우즈 패스워드 가로채기 * 취약한 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/static/3585.php http://www.dark-e.com/archive/trojans/priority/beta/index.shtml 해결책 시스템에서 백도어를 제거하기 위해서는 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 위치의 레지스트리에서 'PServer' 키를 제거한다. 2. 컴퓨터를 재부팅하거나 PServer.exe 종료한다. 4. 윈도우즈 시스템 디렉토리로부터 PServer.exe 파일을 제거한다. -- 또는 -- 백신 프로그램을 사용하여 치료한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)