English

◀◁ 뒤로 취약점ID 24044 위험도 40 포트 21,5400,5401,5402 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Blade Runner 백도어가 발견된다. Blade Runner는 1999년 3월에 델파이 3(Delphi 3)로 작성된 오픈 소스 트로이 목마 프로그램이다. 이 백도어 프로그램은 원격 제어가 가능한 에이전트 프로그램인 Client.exe와 대상 시스템에 설치되는 서버 프로그램인 Server.exe으로 구성되어 있다. 이 프로그램은 기본적으로 변경이 불가능한 21(FTP), 5400, 5401, 5402 TCP 포트를 사용한다. 만약, 시스템에 이 백도어 프로그램이 동작하고 있다면, 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run' 위치에서 "System-Tray" 키가 발견된다. 원격지 공격자들은 이 Blade Runner 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 일들을 수행할 수 있다. - 채팅 - 파일 관리(탐색, 업로드/다운로드, 디렉토리 생성/제거,....) - FTP 서비스 허용/금지 - ICQ uin 획득 - 시스템 정보(사용자, 운영체제, 프로세서, 해상도,...) 획득 - 시스템 시간 획득 - 마우스 커서 감춤/보임 - 서버 프로그램 종료 - CD-ROM 열기/닫기 - 팝업 메시지 띄우기 - 파일 실행 - 이미지 보이기 - 시작 버튼 감춤/보임 - 어플리케이션 보기/ 종료 * 취약한 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/reference/vuln/BladeRunner_TCP_Request.htm http://www.dark-e.com/archive/trojans/blade/index.shtml 해결책 시스템에서 백도어를 제거해야 한다. 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 'System-Tray' 키를 제거한다. 2. 컴퓨터를 재부팅하거나 트로이 목마 프로그램 Server.exe를 종료한다. 4. 'System-Tray' 키에 정의된 트로이 목마 프로그램 Server.exe를 제거한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)