English

◀◁ 뒤로 취약점ID 24047 위험도 40 포트 13473 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Chupacabra1.0 백도어가 발견된다. Chupacabra1.0은 1999년 10월에 비쥬얼베이직 5(Visual Basic 5)로 제작된 트로이 목마 프로그램이다. 이 백도어 프로그램은 원격 제어가 가능한 클라이언트 프로그램인 Chupacabra.exe와 대상 시스템에 설치되는 서버프로그램인 server.exe로 구성되어 있다. 이 프로그램은 기본적으로는 변경이 불가능한 13473 TCP 포트를 사용한다. 이 백도어 프로그램이 동작하기 위해서는 MSwinsck.ocx 와 VB5 런타임 파일들이 필요하다. Chupacabra는 서버 시스템을 포맷하는 기능을 가지고 있어 파괴적인 트로이 목마 프로그램이지만 다소 오래되고 많은 기능들을 가지고 있지 않아서 널리 사용되진 않는다. 만약, 시스템에 이 백도어가 설치되어 있다면 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices', 'HKEY_CURRNET_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'. 위치에서 winprot.exe 값을 가진 "System Protect" 키가 발견된다. 원격지 공격자들은 이 Chupacabra1.0 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 시스템 종료/로그오프/재부팅 - 파일 삭제 - CTRL+ALT+DEL 허용/금지 - 시스템 포맷 - ICQ 사용자 획득 - 시간 획득 - 작업 표시줄 감춤/보임 - 메시지 전달 - 화면 보호기 실행 * 취약한 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/static/5304.php http://www.dark-e.com/archive/trojans/chupacabra/10/index.shtml http://www.tlsecurity.net/backdoor/Chupacabra.htm 해결책 시스템에서 백도어를 제거해야 한다. 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 'System Protect' 키를 제거한다. 2. win.ini 파일(대개, c:\windows\win.ini에 위치) 에서 [Windows] 엔트리 밑에 load=winprot.exe와 run=winprot.exe 를 제거한다. 3. 컴퓨터를 재부팅하거나 winprot.exe를 종료한다. 4. 윈도우즈 디렉토리에서 트로이 목마 프로그램 winprot.exe를 제거한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)