English

◀◁ 뒤로 취약점ID 24039 위험도 40 포트 1441 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Remote Storm 백도어가 발견된다. Remote Storm은 2000년 2월에 비쥬얼베이직(Visual Basic)으로 작성된 트로이 목마 프로그램이다. 이 백도어 프로그램은 Remote Storm.exe(에이전트 프로그램), Extract.exe(서버 프로그램) 파일로 구성되어 있으며 디폴트 포트로 변경이 불가능한 1441 TCP 포트를 사용한다. 이 백도어 프로그램이 동작하기 위해서는 'Mswinsck.ocx' 파일이 필요하다. 만약, 이 백도어 프로그램이 시스템에 동작하고 있다면 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 위치에서 C:\WINDOWS\System\DllRun.exe 값을 가진 "WinManager" 키가 발견된다. 원격지 공격자들은 이 Remote Storm 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 오동작(illegal operation) 메시지 표시 - 클립보드 허용/금지 - 더블클릭 허용/금지 - 윈도우즈 종료 - 거짓 포맷하기(fake format) - 파일 관리 - 모든 어플리케이션 윈도우 창 최소화 - CD-ROM 열기/닫기 - 메시지/텍스트 보내기 - 웹페이지 열기 - 서버 환경설정(종료, 제거, 패스워드 설정) - 호스트이름 설정 - 해상도 설정 - 화면보호기 시작 - 마우스 버튼 바꾸기 - 현재 동작하는 프로그램 보기/종료 Remote Storm에는 시스템을 파괴하진 않지만 매우 위협적인 일부 숨겨진 기능들이 존재한다. 그 중 거짓 포맷(fake formatting) 기능은 실제로 시스템을 포맷하는 것이 아니라 단지 디스크 포맷처럼 가장하는 것이다. 또한, 거짓 오동작(fake illegal operation) 메시지 표시하기는 오동작이 발생했다는 오류 메시지를 출력하고 만약, 해당 프로그램이 실행 중이라면 실제로 프로그램 자체를 종료한다. * 취약한 플랫폼들 : Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/reference/vuln/RemoteStorm.htm http://www.iss.net/security_center/static/5362.php 해결책 시스템에서 백도어를 제거하기 위해서는 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 'WinManagerr' 키를 제거한다. 2. 컴퓨터를 재부팅하거나 DllRun.exe 종료한다. 4. 윈도우즈 시스템 디렉토리로부터 DllRun.exe, DllCount.sys 파일을 제거한다. -- 또는 -- 백신 프로그램을 사용하여 치료한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)