English

◀◁ 뒤로 취약점ID 24043 위험도 40 포트 666 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Satan's BackDoor 백도어가 발견된다. Satan's BackDoor는 1999년 2월에 비쥬얼베이직 6(Visual Basic 6)으로 작성된 트로이 목마 프로그램이다. 이 백도어 프로그램은 원격 제어가 가능한 에이전트 프로그램인 SBD2 Client BETA.exe(또는, Client.exe)와 대상 시스템에 설치되는 서버프로그램인 winvmm32.exe으로 구성되어 있다. 이 프로그램은 기본적으로 변경 불가능한 666 TCP 포트를 사용한다. 프로그램이 동작하기 위해서는 세 개의 파일 mswinsck.ocx, msvbvm60.dll, Comdlg32.ocx가 필요하다. 만약, 시스템에 버전 2.0beta 가 설치되어 있다면 auload 정보는 찾을 수 없다. 그러나, 버전 1.0의 경우에는'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runservices' 위치에서 C:\\windows\\sysprot.exe 값을 가진 "sysprot Protection" 키가 발견된다. 원격지 공격자들은 이 Satan's BackDoor 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 거짓(fake) 다이얼로그 창을 띄워 사용자명과 패스워드를 입력받기. - 메시지 박스 띄우기 - 시스템에 저장된 패스워드 획득하기 - 클립보드에 저장된 텍스트 획득하기 - 날짜/시간 획득 및 변경하기 - 메시지 박스 폭탄 보내기(연속적인 메시지 박스 띄우기 : 재부팅 요구) - 시스템 정보 획득하기 - 프로그램 실행하기 - 액티브된 윈도우로 Key Stroke 보내기 - 키 로깅(key logging) * 취약한 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/reference/vuln/SatansBackdoor.htm http://xforce.iss.net/xforce/xfdb/4149 해결책 시스템에서 백도어를 제거해야 한다. * 버전 2.0beta : 1. 시스템 재부팅하거나 winvmm32.exe 를 종료한다. 2. 트로이 목마 프로그램 winvmm32.exe를 제거한다. * 버전 1.0 : 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runservices 위치의 레지스트리에서 'sysprot Protection' 키를 제거한다. 2. 컴퓨터를 재부팅하거나 sysprot.exe를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 sysprot.exe를 제거한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)