English

◀◁ 뒤로 취약점ID 24049 위험도 40 포트 6969 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Net Controller 백도어가 발견된다. Net Controller는 1999년 7월에 브라질에서 제작된 오래된 트로이 목마 프로그램이다. 이 백도어 프로그램은 원격 제어가 가능한 클라이언트 프로그램인 NetCtrlr.exe와 대상 시스템에 설치되는 서버프로그램인 NetSrvr.exe로 구성되어 있다. 이 프로그램은 기본적으로는 6969 TCP 포트를 사용하지만 원격 클라이언트 프로그램에 있는 포트 변경 메뉴를 통해서 변경이 가능하다. 클라이언트 프로그램은 NetBus와 유사하며 서버는 반드시 C 드라이브에서 시작되어야만 한다. 만약, 시스템에 이 백도어가 설치되어 있다면 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 위치에서 C:\WINDOWS\System.exe 값을 가진 "System" 키가 발견된다. 원격지 공격자들은 이 Net Controller 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 마우스 제어 - 파일 관리 - FTP 서비스 - 캐쉬된(cached) 패스워드 획득 - 스크린 캡춰(Screen Capture) - 시작 버튼 감춤/보임 - CD-ROM 열기/닫기 - 인터넷 연결 해제 - 사운드 실행/녹음 - 메시지 전송 - 웹 페이지(URL) 열기 - 이미지 보이기 - 마우스 버튼 바꾸기 - 포트 변경 - 프로그램 실행 - 키 로깅(key logging) * 취약한 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.dark-e.com/archive/trojans/netcontroller/108/index.shtml http://www.glocksoft.com/trojan_list/Net_Controller.htm http://www.megasecurity.org/trojans/n/netcontroller/ 해결책 시스템에서 백도어를 제거해야 한다. 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 'System' 키를 제거한다. 2. 컴퓨터를 재부팅하거나 system.exe 를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 system.exe를 제거한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)