English

◀◁ 뒤로 취약점ID 24056 위험도 40 포트 15382 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 SubZero 백도어가 발견된다. SubZero는 2000년 12월에 델파이(Delphi)로 작성된 트로이 목마 프로그램이다. 이 백도어 프로그램은 원격 제어가 가능한 클라이언트 프로그램인SubZero.exe, 대상 시스템에 설치되는 서버프로그램인 server.exe 로 구성되어 있다. 기본적으로 15382 TCP 포트를 사용하지만 클라이언트 프로그램의 서버 세팅 메뉴를 통해서 임의로 변경이 가능하다. 백도어 프로그램이 동작하기 위해서는 ICQMAPI.dll 파일이 필요하다. 현재 이 백도어 프로그램은 개발이 중단되었으며 소스코드도 공개되어 있지 않다. 백도어가 동작하게 되면 백도어 프로그램은 윈도우즈 디렉토리에 자신을 복사해 넣기는 하지만 레지스트리 등록은 하지 않는다. 만약, 등록이 된다면 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 위치에서 C\WINDOWS\SYSTEM\taskmann.dll.exe 값을 가진 "taskmann.dll" 레지스트리 키를 발견할 수 있다. 원격지 공격자들은 이 SubZero 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 키 로거(key logger) - ICQ/AIM/IE/MSN/YAHOO 감시(spy) - 서버와 채팅 - 해상도, 볼륨(volume), 시작 버튼, 윈도우즈 색상 변경 - 클럭(clock), 시작버튼, 시스템 트레이(systray), 작업 표시줄 보임/감춤/금지/제거 - 파일 관리( 파일 검색/다운로드/실행, FTP, ...) - AIM(AOL 인스턴트 메신저), RAS(Remote Access Server), 캐쉬된(cached) 패스워드 획득 - 포트 리다이렉트(Redirect) - 메시지 전달 - URL 전달 - 프로세스 보기/종료 - 윈도우즈 종료/재부팅/로그 오프/파워 오프.. - 시스템 정보(사용자, 운영체제, 드라이브, 디렉토리 정보) 획득 * 영향을 미치는 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.dark-e.com/archive/trojans/subzero/alpha/index.shtml http://www.megasecurity.org/trojans/s/subzero/Subzero_alpha.html http://www.glocksoft.com/trojan_list/SubZero.htm 해결책 시스템에서 백도어를 제거해야 한다. 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 "taskmann.dll" 키를 제거한다. 2. 컴퓨터를 재부팅하거나 taskmann.dll.exe 를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 taskmann.dll.exe 를 제거한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)