English

◀◁ 뒤로 취약점ID 24040 위험도 40 포트 36794 프로토콜 TCP 분류 BackDoor 상세설명 BugBear 백도어가 발견된다. BugBear 백도어는 BugBear 웜의 한 부분으로 key logger를 포함하고 있으며 안티바이러스나 개인용 방화벽 소프트웨어들을 죽여 버린다. BugBear 웜은 첨부들을 포함한 Email들을 보냄으로써 확산하며, 네트워크 상의 공유 자원들을 찾아 자기자신을 복제할 수도 있다. 안티바이러스 벤더에 따르면 W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure], 등등의 이름으로 알려져 있다. BugBear 백도어는 36794 포트를 오픈하고 원격지 머신으로부터 명령을 기다린다. 원격지의 공격자들은 희생자의 컴퓨터에 다음과 같은 일들을 할 수 있는 명령들을 보낼 수 있다: - 암호화된 형태로 캐쉬에 저장된 패스워드들을 검색한다. - 파일들을 다운로드하고 실행한다. - 파일들을 찾는다. - 파일들을 삭제한다. - 파일들을 복사한다. - 파일들을 생성한다. - 프로세스의 리스트를 본다. - 프로세스들을 종료시킨다. - 사용자명, 프로세스의 형태, 윈도우즈 버전, 메모리 정보 (사용량, 가용량 등), 드라이브 정보 (가용한 로컬 드라이브의 형태, 이들 드라이브에 있는 남은 용량 등)과 같은 정보를 검색한다. 취약한 플랫폼: Microsoft Windows Any version * 참고 사이트: http://www.sophos.com/virusinfo/analyses/w32bugbeara.html http://www.ealaddin.com/news/2002/esafe/bugbear.asp http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.html 해결책 1. 안티 바이러스 프로그램들이나 무료 감염제거 툴들을 이용하여 웜을 제거한다. 2. 감염된 컴퓨터의 윈도우즈 공유들을 없앤다. 3. 감염된 컴퓨터에 있는 Outlook, 인터넷 익스플로러 브라우저 그리고 Outlook Express를 업데이트한다. 패치는 마이크로소프트 보안 게시판 MS01-027 로부터 다운로드 받을 수 있다. (이 패치는 이 웜에 의해 도용되는 것들을 포함하여 마이크로소프트의 소프트웨어에 있는 다수의 취약점들을 제거해 준다): http://www.microsoft.com/technet/security/bulletin/MS01-027.asp 무료 BugBear 웜 감염제거 툴: - 설명이 포함된 Self-extracting 실행파일: http://www.sophos.com/tools/bearsfx.exe - 설명이 포함된 Zip 버전: http://www.sophos.com/tools/bear.zip 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)