English

◀◁ 뒤로 취약점ID 24051 위험도 40 포트 17499,17490 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 CrazzyNet 백도어가 발견된다. CrazzyNet은 2000년 7월에 만들어진 많은 기능들을 제공하는 트로이 목마 프로그램이다. 현재 버전 3.7, 3.7.1, 3.7.5, 3.7.8, 5.0, 5.2, 5.2.1 가 배포되어 있다. 이 백도어 프로그램은 원격 제어가 가능한 클라이언트 프로그램인 Client.exe와 대상 시스템에 설치되는 서버프로그램인 Server.exe로 구성되어 있다. 기본적으로 버전에 따라 변경이 불가능한 17499 또는 17490 TCP 포트를 사용하며 17500 TCP 포트를 동시에 사용한다. 만약, 시스템에 이 백도어가 설치되어 있다면 'HKEY_CURRNET_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 위치에서 Registry32.exe 값을 가진 "Reg32" 키가 발견된다. 또한, 일단 백도어가 동작하면 win.ini, system.ini 파일을 변경시킨다. 네트워크 상에서 원격 제어가 가능한 호스트들을 검색할 수 있는 NetScanner 기능을 제공한다. 원격지 공격자들은 이 CrazzyNet 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 캐쉬된(cashed) 패스워드 획득 - ICQ UIN/사용자 획득 - 시스템 색상 획득 - 어플리케이션과 그 경로 획득 - 시스템 정보(컴퓨터 이름, 사용자 이름, 운영체제, 해상도, ... )획득 및 설정 - 화면 캡춰 - 메시지 전달 - CrazzyNet Scanner (백도어에 감염된 호스트 검색) - 시스템 로그 오프/종료/재부팅 - 모든 키보드 입력 로그작성 (log all keystrokes) - 파일 관리(파일 업로드/다운로드/실행) - 윈도우즈 세션 관리 - 서버 편집 * 취약한 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/static/5541.php http://www.tlsecurity.net/backdoor/crazynet.html http://www.glocksoft.com/trojan_list/CrazzyNet.htm 해결책 시스템에서 백도어를 제거해야 한다. 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 'Reg32' 키를 제거한다. 2. system.ini (일반적으로 c:\windows\system.ini) 파일에서 shell=Explorer.exe Registry32.exe 키를 shell=Explorer.exe 로 변경한다. 3. win.ini(일반적으로 c:\windows\win.ini) 파일에서 [Windows]의 run=Registry32.exe 를 삭제한다. 4. 컴퓨터를 재부팅하거나 Registry32.exe 를 종료한다. 5. 윈도우즈 디렉토리에서 트로이 목마 프로그램 Registry32.exe 를 제거한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)