English

◀◁ 뒤로 취약점ID 24052 위험도 40 포트 2589,1386 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Dagger 백도어가 발견된다. Dagger은 2000년에 비쥬얼 C++(Visual C++)로 만들어진 트로이 목마 프로그램이다. 현재 버전 31.3.1(b), 1.4.0이 배포되어 있다. 이 백도어 프로그램은 원격 제어가 가능한 클라이언트 프로그램인 Client.exe와 대상 시스템에 설치되는 서버프로그램인 Server.exe로 구성되어 있다. 기본적으로 사용하는 포트는 변경이 불가능한 1386(1.3.1b)또는 2589(1.4.0)를 사용하며 버전에 따라 차이가 있다. Dagger 1.4.0 버전은 이전 버전과 사용하는 포트 및 자동실행 정보가 저장되는 레지스트리 키에 차이가 있다. 만약, 시스템에 버전 1.4.0이 설치되어 있다면 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run', HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices' 위치에서 C\WINDOWS\System\Manager.exe 값을 가진 "SysManager" 키가 발견되고 그 이전 버전(1.3.1b)이 설치되어 있는 경우는 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 위치에서 C\WINDOWS\System\VScan.exe 값을 가진 "WinVirusScan" 키가 발견된다. 원격지 공격자들은 이 Dagger 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 서버와의 채팅 - 데스크탑(desktop) 허용/금지 - 파일 관리( 파일 다운로드, 삭제, 실행, ...) - 시스템 정보(사용자명, 윈도우즈 제품 라이센스 키(product key), 프로세서, 해상도, ... ) 획득 - 작업 표시줄 숨김/보임 - 메시지 전송 - 시스템 종료/재부팅 - 어플리케이션(Application) 보기/종료 - 서버 프로그램 종료/제거 * 취약한 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/static/6238.php http://www.megasecurity.org/trojans/d/dagger/Dagger_all.html http://www.tlsecurity.net/backdoor/Dagger.1.4.html 해결책 시스템에서 백도어를 제거해야 한다. * 버전 1.3b의 경우, 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 'WinVirusScan' 키를 제거한다. 2. 컴퓨터를 재부팅하거나 VScan.exe 를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 VScan.exe 를 제거한다. * 버전 1.4의 경우, 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 위치의 레지스트리에서 'SysManager' 키를 제거한다. 2. 컴퓨터를 재부팅하거나 Manager.exe 를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 Manager.exe를 제거한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)