English

◀◁ 뒤로 취약점ID 24055 위험도 40 포트 12349,5000 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 BioNet 백도어가 발견된다. BioNet은 1999년 11월에 델파이(Delphi)로 작성된 트로이 목마 프로그램으로서, 현재 BioNet 0.84, 0.87, 0.92, 0.92NT, ... , 3.02ME~3.18ME, 4.01, BioNet Lite 1.4, CGI Logger 등 다양한 버전이 배포되어 있다. 이는 원격 제어가 가능한 클라이언트 프로그램 BioNet.exe(BNLite.exe), 대상 시스템에 설치되는 서버프로그램 Server.exe, 서버 편집 프로그램 editor.exe( builder.exe)로 구성된다. BioNet Lite 버전은 디폴트로 5000/TCP 포트를, 일반적인 버전은 12349/TCP 포트를 사용하고 포트는 원격지 공격자에 의해 서버 편집 프로그램을 통해서 임의의 변경이 가능하다. 일단 백도어에 감염된 시스템은 wininit.ini 파일이 편집되고 explorer.exe 이 explorer.e 로 교체되며 Awadrp32.exe, Mkcompat.exe, Rnaap.exe 도 영향을 받을 수 있다. BioNet은 트로이 목마 프로그램을 임의로 제거하지 못하도록 DOS 모드로 재부팅을 제한한다. 서버 프로그램들은 서버 편집 프로그램을 통하여 50가지 이상의 기능을 조합하여 생성되기 때문에 수동적인 제거 방법으로는 완벽한 삭제가 불가능할 수 있다. 만약, 시스템에 백도어가 동작하면 다음과 같은 레지스트리 키들을 발견할 수 있다. * 버전 0.84, 0.87, 0.92, 0.92NT, 2.21, 2.61a, 3.02ME~3.18ME, 4.01, BioNet Lite 등의 경우, - 레지스트리 값: WinLibUpdate, ProcMon (BioNet Lite) - 값 데이타: C\WINDOWS\libupdate.exe, C\WINDOWS\procmon.exe (BioNet Lite) - 레지스트리 위치: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 원격지 공격자들은 이를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 안티바이러스 프로그램 또는 방화벽 우회 - IGMP flooding 공격 - 파일 관리(검색/다운로드/업로드/실행) - 캐쉬된 또는 E-mail 패스워드 획득 - 시스템 정보 획득(해상도, 운영체제 등) - 키 로거(key logger) - 포트 리다이렉트(Redirect) - 서버 프로그램 종료 및 제거, 업데이트 - 메시지 박스, URL 전달 - 시스템 종료/Power Off/재부팅 - 프로세스 보기/종료 - ICQ notification - 레지스트리 편집 - 스케쥴링 - IP/포트 스캐너 * 영향을 받는 플랫폼: Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/reference/vuln/Email_BioNet.htm http://www.megasecurity.org/trojans/b/bionet/Bionet_all.html 해결책 시스템에서 백도어를 제거해야 한다. * 버전 0.84, 0.87, 0.92, 0.92NT, 2.21, 2.61a, 3.02ME~3.18ME, 4.01 등의 경우, 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 "WinLibUpdate" 키를 제거한다. 2. 컴퓨터를 재부팅하거나 libupdate.exe를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 libupdate.exe를 제거한다. * 버전 BioNet Lite의 경우, 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 "ProcMon" 키를 제거한다. 2. 컴퓨터를 재부팅하거나 procmon.exe를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 procmon.exe를 제거한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)