English

◀◁ 뒤로 취약점ID 24050 위험도 40 포트 10085,10086 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Syphillis 백도어가 발견된다. Syphillis는 1999년 11월에 델파이 4(Delphi 4)로 작성된 트로이 목마 프로그램이다. 이 백도어 프로그램은 원격 제어가 가능한 클라이언트 프로그램인 Syphillis.exe와 대상 시스템에 설치되는 서버프로그램인 shell32.exe로 구성되어 있다. 이 프로그램은 기본적으로 변경 불가능한 10085 또는 10086 TCP 포트를 사용한다. 프로그램이 동작하기 위해서는 packet32.dll 파일이 필요하다. Syphillis 백도어는 ICQ 트로이 목마 프로그램으로 동작하고 또한, 패킷 스니핑, UDP 메시지 전송과 같은 새로운 기능들을 가지고 있다. 만약, 시스템에 이 백도어가 설치되어 있다면 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 위치에서 Shell32.exe 값을 가진 "Win32 Shell" 키가 발견된다. 원격지 공격자들은 이 Syphillis 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 파일 관리 - 시스템 정보 획득(CPU, 네트워크, 운영체제, 메모리, ....) - 시스템 로그 오프/종료 - 서버 설정/종료 - 캐쉬된(cached) 패스워드 획득 - 인터넷 시작 페이지 설정 - 키 로거(key logger) - 패킷 스니퍼(packet sniffer) - 레지스트리 편집(registry editor) - 텔넷(Telnet) 클라이언트 - UDP 메시지 전송/수신 - 접속/internet history/프로세스/실행 프로그램/공유 보기 - 데스크탑 아이콘/시작 버튼/작업 표시줄 감춤/보임 - FTP 또는 HTTP 파일 다운로드 - 파일 실행 - ICQ 정보 획득 - ICQ 상태 변경 - 대화상대 추가(Add contact) * 취약한 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/static/4814.php http://www.dark-e.com/archive/trojans/syphillis/118/index.shtml http://www.glocksoft.com/trojan_list/Syphillis.htm 해결책 시스템에서 백도어를 제거해야 한다. 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 'Win32 shell' 키를 제거한다. 2. 컴퓨터를 재부팅하거나 Shell32.exe 를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 Shell32.exe를 제거한다. 시스템 디렉토리 내에 Shell32.log 파일은 외부 호스트로부터 로그온된 시간과 사용자에 대한 로그 정보를 담고 있다. . -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)