English

◀◁ 뒤로 취약점ID 24045 위험도 40 포트 666,5401,5402 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Back Construction 백도어가 발견된다. Back Construction은 1999년 6월에 작성된 간단한 트로이 목마 프로그램이다. 이 백도어 프로그램은 client.exe(에이전트 프로그램), Server.exe(서버 프로그램) 파일로 구성되어 있다. 이 프로그램은 FTP 서버를 사용하기 위해 21 TCP 포트를 오픈(open)하고 또한, 원격지 공격자가 클라이언트 프로그램을 사용할 때, 666, 5401, 5402 TCP 포트를 오픈(open)한다. 이러한 포트들은 임의로 변경이 불가능하다. 만약, 이 백도어 프로그램이 시스템에 동작하고 있다면 'HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run' 위치에서 Cmctl32.exe 값을 가진 "Shell" 키가 발견된다. 원격지 공격자들은 이 Back Construction 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 채팅 - victim 시스템을 통해 전자우편 발송 - 파일 관리(업로드, 다운로드, 디렉토리 생성..) - 캐쉬된(cashed) 패스워드 획득 - 시작 메뉴 허용/금지 - 어플리케이션 보기/종료 * 취약한 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.dark-e.com/archive/trojans/backc/21/index.shtml http://www.glocksoft.com/trojan_list/Back_Construction.htm http://www.iss.net/security_center/static/3222.php 해결책 시스템에서 백도어를 제거해야 한다. 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 'Shell' 키와 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General\Settings 위치의 레지스트리에서 'P23H' 키를 제거한다. 2. 컴퓨터를 재부팅하거나 트로이 목마 프로그램 Cmctl32.exe 종료한다. 4. 윈도우즈 시스템 디렉토리로부터 트로이 목마 프로그램 Cmctl32.exe 파일을 제거한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)