English

◀◁ 뒤로 취약점ID 24054 위험도 40 포트 5880,5802,5838 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Y3K RAT 백도어가 발견된다. Y3K RAT은 2000년 5월에 델파이(Delphi)로 작성된 트로이 목마 프로그램이다. 현재 버전 1.0, 1.1, 1.2, 1.3, 1.4, 1.4b, 1.5, 1.6, 1.6 MegaSecurity, Pro 0.1이 배포되어 있다. 이 백도어 프로그램은 원격 제어가 가능한 클라이언트 프로그램인 client.exe, 대상 시스템에 설치되는 서버프로그램인 server.exe 와 서버 편집이 가능한 server editor.exe (또는 server builder.exe)로 구성되어 있다. 기본적으로 사용하는 포트는 5880, 5802(v1.6), 5838(pro0.1) TCP 포트이며 동시에 5882, 5890, 5803, 5839 TCP, 5888, 5889 TCP/UDP 포트등도 사용된다. Y3K RAT은 버전마다 사용하는 포트 및 자동실행 정보가 저장되는 레지스트리 키에 많은 차이가 있으며 1.3 이후 버전부터는 포트변경도 가능하다. Y3K RAT 백도어는 ICQ IP 스니퍼 기능과 공격자의 ICQ UIN으로 감염된 IP의 상태를 알려주는 notification(알림 메시지)를 보내 주는 기능이 있으며 40 가지의 기능을 조합하여 서버를 편집할 수도 있다. 로컬 호스트에서의 접속을 허용하지 않기 때문에 서버와 클라이언트를 한 호스트에서 동시에 사용할 수 없다. 이 백도어는 다양한 레지스트리 등록이 가능하기 때문에 사용자에 의해 수동적으로 직접 제거하는 방법으로는 백도어가 완전히 제거되지 않을 수도 있다. 만약, 시스템에 백도어가 동작하게 되면 버전에 따라 다음과 같은 레지스트리 키들을 발견할 수 있다. * 레지스트리 위치: 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' (All Versions) 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices' (V1.4, 1.4b, 1.5) 'HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' (V1.4, 1.4b, 1.5) * 레지스트리 값: Explorer32 (V1.0, 1.1, 1.2) Nvarch16 (V1.3) Msscmc32 (V1.4, 1.4b) Dcomcnofg (V1.5) MSCONFIG (V1.6) * 값 데이타: C\WINDOWS\Rundll.exe (V1.0, 1.1, 1.2) C\WINDOWS\Nvarch16.exe (V1.3) C\WINDOWS\Advapi32.exe (V1.4, 1.4b) C\WINDOWS\SYSTEM\Dcomcnofg.exe (V1.5) C\WINDOWS\SYSTEM\MSCONFIG.exe (V1.6) * 영향을 받는 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/static/4496.php http://www.symantec.com/avcenter/venc/data/backdoor.y3krat.12.html http://www.tlsecurity.net/backdoor/y3k.html 해결책 시스템에서 백도어를 제거해야 한다. * 버전 1.0, 1.1, 1.2 의 경우, 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 '"Explorer32" 키를 제거한다. 2. 컴퓨터를 재부팅하거나 Rundll.exe를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 Rundll.exe를 제거한다. * 버전 1.3 의 경우, 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 '"Nvarch16" 키를 제거한다. 2. 컴퓨터를 재부팅하거나 Nvarch16.exe를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 Nvarch16.exe를 제거한다. * 버전 1.4, 1.4b 또는 1.5 의 경우, 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 "Msscmc32(or Dcomcnofg)" 키를 제거한다. 2. 컴퓨터를 재부팅하거나 Nvarch16.exe (or Dcomcnofg.exe) 를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 Nvarch16.exe (or Dcomcnofg.exe)를 제거한다. * 버전 1.6 의 경우, 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 '"MSCONFIG" 키를 제거한다. 2. 컴퓨터를 재부팅하거나 MSCONFIG.exe를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 MSCONFIG.exe를 제거한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)