English

◀◁ 뒤로 취약점ID 24057 위험도 40 포트 11223 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Progenic 백도어가 발견된다. Progenic은 1999년 4월에 비쥬얼베이직 6(Visual Basic 6)로 작성된 트로이 목마 프로그램이다. 현재 버전 β1.0, β2.0, β3.0, 1.0, 1.1 이 배포되어 있다. 이 백도어 프로그램은 원격 제어가 가능한 클라이언트 프로그램인 ProgenicT.exe, 대상 시스템에 설치되는 서버프로그램인 AntiNuke.exe 로 구성되어 있다. 기본적으로 변경이 불가능한 11223 TCP 포트를 사용한다. 이 백도어의 서버 프로그램이 처음 실행될 때, "Runtime error 403 wrong statement" 와 같은 메시지가 출력된다. 그래서 사용자는 이 프로그램에 에러가 존재하며 올바르게 실행되지 않았다고 생각하지만 실제로 내부적으로 프로그램은 동작된다. 백도어가 동작하게 되면 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 위치에서 C\windows\scandiskc.exe(또는 C:\Windows\Scandiskwr.exe) 값을 가진 "Kernel32(또는 Scandisk)" 레지스트리 키를 발견할 수 있으며 또한, "win.ini" 파일도 변경된다. 원격지 공격자들은 이 Progenic 백도어를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다. - 캐쉬된(cached), E-mail 패스워드 획득 - 시스템 정보(해상도, 사용자명, 컴퓨터명, 드라이브, 윈도우즈 버전, ....) 획득 - ISP 명 및 사용자명 획득 - 마지막 방문 웹 페이지 및 시작 페이지 정보 획득 - ICQ 경로 및 UIN 획득 - 파일 관리 - ICQ 종료 - 시스템 재부팅 및 종료 - 마우스 버튼 사용/금지/변경 - 키 로거(key logger : 모든 키보드 입력 정보 획득) - URL 전달 - 서버 프로그램 종료 및 제거 * 영향을 미치는 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.iss.net/security_center/static/3119.php http://www.dark-e.com/archive/trojans/progenic/index.html http://www.megasecurity.org/trojans/p/progenictrojan/Progenictrojan_all.html 해결책 시스템에서 백도어를 제거해야 한다. 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 "Kernel32(또는 Scandisk)" 키를 제거한다. 2. 편집 프로그램을 이용하여 win.ini(보통 C:\windows\win.ini) 파일에서 [Windows] 안의 "run=c:\windows\scandiskc.exe" 키를 제거한다. 3. 컴퓨터를 재부팅하거나 tscandiskc.exe(또는 Scandiskwr.exe) 를 종료한다. 4. 윈도우즈 디렉토리에서 트로이 목마 프로그램 scandiskc.exe(또는 Scandiskwr.exe) 를 제거한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)