English

◀◁ 뒤로 취약점ID 24046 위험도 40 포트 60411 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Connection 백도어가 발견된다. Connection은 2000년 5월에 브라질에서 만들어진 트로이 목마 프로그램으로 매우 단순하지만 치명적인 백도어 프로그램이다. 현재 버전 1.0, 1.1, 1.2, 1.3이 배포되어 있다. 이 백도어 프로그램은 원격 제어가 가능한 클라이언트 프로그램인 Connection.exe와 대상 시스템에 설치되는 Normal, Virus 두 가지 버전의 서버프로그램인 winoldap.exe로 구성되어 있다. Virus 서버는 다른 (.exe) 실행 파일에 자신을 부착시키는 바이러스와 같이 동작한다. 기본적으로 변경이 불가능한 60411 TCP 포트를 사용한다. 버전 1.2와 1.3 은 백도어 프로그램을 동작시키기 위해 mSwinsck.ocx 와 msvbvm50.dll 파일들을 필요로 한다. 만약, 시스템에 이 백도어가 설치되어 있다면 'HKEY_CURRNET_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 위치에서 C:\win\system\winrun.exe 값을 가진 "Winrun" 키가 발견된다. 원격지 공격자들은 이 Connection 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 파일 시스템 내용 보기 - 캐쉬된(cashed) 패스워드 획득 * 취약한 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/static/4848.php http://www.tlsecurity.net/backdoor/connection.htm http://www.megasecurity.org/trojans/connection/ 해결책 시스템에서 백도어를 제거해야 한다. 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 'Winrun' 키를 제거한다. 2. C:\win\system\winrun.exe 파일이 존재하면 삭제한다. 3. 컴퓨터를 재부팅한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)