English

◀◁ 뒤로 취약점ID 24042 위험도 40 포트 1020,6669 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Vampire 백도어가 발견된다. Vampire 백도어는 1999년 6월에 비쥬얼베이직(Visual Basic)으로 작성된 트로이 목마 프로그램이다. 이 백도어 프로그램은 원격 제어가 가능한 에이전트 프로그램인 Vampire.exe와 대상 시스템에 설치되는 서버프로그램인 server.exe으로 구성되어 있다. 이 프로그램은 기본적으로 변경 불가능한 6669(버전 1.0), 1020(버전 1.2) TCP 포트를 사용한다. 프로그램이 동작하기 위해서는 두 개의 파일 msvbvm60.dll, mswinsck.ocx 이 필요하다. 만약, 시스템에 이 백도어 프로그램이 동작하고 있다면, 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run' 위치에서 c:\windows\system\Winboot.exe 값을 가진 "WindowsBootFile" 키가 발견된다. 원격지 공격자들은 이 Vampire 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 작업 표시줄 감춤/보임 - 채팅 - 현재 데스크탑 화면 캡춰(screehshot) - 메시지 전송 - ALT+CTRL+DEL 허용/금지 - CD-ROM 열기/닫기 - 시스템 정보 획득(하드드라이브, 서버경로, 운영체제, 시스템 소유자, 디스크 시리얼 번호, ...) - 파일 관리(디렉토리 생성/삭제, 파일 찾기/삭제/파괴, ...) - 서버 프로그램 종료 - 어플리케이션 윈도우 창 종료 - 레지스트리 파괴 - 드라이브 포맷 - 시스템 종료/재부팅 - 로그 온/오프 - 웹 페이지 열기 - 프로그램 실행 - 호스트이름/볼륨 레이블(volume label) 설정 - 윈도우즈 종료 - 모니터 온/오프 * 취약한 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/reference/vuln/Vampire_TCP_Response.htm http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Backdoor%3AWin32%2FVampire&ThreatID=24889 해결책 시스템에서 백도어를 제거해야 한다. 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 'WindowsBootFile' 키를 제거한다. 2. 컴퓨터를 재부팅하거나 트로이 목마 프로그램 Winboot.exe을 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 Winboot.exe을 제거한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)