English

◀◁ 뒤로 취약점ID 24058 위험도 40 포트 1001,9580,6711 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Theef 백도어가 발견된다. Theef는 2001년 5월에 델파이 3.0(Delphi 3.0)로 작성된 트로이 목마 프로그램이다. 현재 버전 1.1, 1.2, 1.21, 1.22, 1.23, 1.30, 1.31, 1.33, 1.34, 1.35, 1.37, Lite 1.0, Lite 1.11이 배포되어 있다. 이 백도어는 버전에 따라 사용하는 포트, 자동 실행 방법, 파일 이름, 기능 등 많은 차이가 있다. * 레지스트리 위치: - HKLM\Software\Microsoft\Windows\CurrentVersion\Run (V1.1, 1.2, 1.22, 1.23, 1.37, Lite 1.0, 1.11) - HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices (V1.22, 1.23) - HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce (V1.22, 1.23) * 레지스트리 값: - ocxreg(V1.1, 1.2, 1.22, 1.23), Queue(V1.37), AutoUpdate(Lite 1.0), UpdateComponent(Lite 1.11) * 값 데이터: - C:\WINDOWS\SYSTEM\ocxreg.exe(V1.1, 1.2, 1.22, 1.23) - c:\windows\Queue.exe(V1.37) - C:\WINDOWS\wincheck.exe(Lite 1.0) - C:\WINDOWS\Lib32.exe(Lite 1.11) * 디폴트 사용 포트: - 1001(V1.1) 1001, 1005, 1000 (V1.2) - 1001, 3000, 1005 (V1.22, 1.23) - 6711 (V1.37) - 9580 (Lite 1.0, 1.11) * 구성 파일: - client.exe, server.exe (V1.1, 1.2) - theef.exe, server.exe, editserver.exe (V1.22, 1.23) - client137.exe, server137.exe, editserver137.exe (V1.37) - Client.exe, theefliteserver.exe (Lite 1.0) - Client_1.11.exe, theefliteserver.exe (Lite 1.11) 원격지 공격자들은 이를 이용하여 원격으로 대상시스템에서 다음과 같은 동작을 수행할 수 있다: - 시스템 정보 획득 - 프로세스 보기/종료/감춤 - 키 로거(key logger) - 캐쉬된, 넵스터, 윈집 패스워드 획득 - 시스템 종료/재부팅/Log Off/강제 종료 - 드라이브 포맷 - 방화벽, 안티바이러스 프로그램, 백도어 제거 프로그램 종료 - 메시지 박스, 블루 스크린(시스템 장애화면) 띄우기 - CMOS 설정 지우기 - 즐겨찾기 획득 - 파일 관리(다운로드, 업로드, 실행, 읽기 등) - 현재 연결된 서버 프로그램의 설정(패스워드, 포트, 서버명 등) 편집 - 서버 프로그램 제거/종료/재시작 * 영향을 미치는 플랫폼 : Microsoft Windows Any version * 참고 사이트: http://www.megasecurity.org/trojans/t/theef/Theef_all.html http://www.tlsecurity.net/backdoor/theef.backdoor.html http://theef.4-all.org/ 해결책 시스템에서 백도어를 제거해야 한다. * 버전 1.1, 1.2의 경우, 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 "ocxreg" 키를 제거한다. 2. 컴퓨터를 재부팅하거나 ocxreg.exe 를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 ocxreg.exe 를 제거한다. * 버전 1.22, 1.23의 경우, 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices, HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce 위치의 레지스트리에서 "ocxreg" 키를 제거한다. 2. 컴퓨터를 재부팅하거나 ocxreg.exe 를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 ocxreg.exe 를 제거한다. * 버전 1.37의 경우, 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 "Queue" 키를 제거한다. 2. 컴퓨터를 재부팅하거나 Queue.exe를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 Queue.exe를 제거한다. * 버전 Lite 1.0의 경우, 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 "AutoUpdate" 키를 제거한다. 2. 컴퓨터를 재부팅하거나 wincheck.exe를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 wincheck.exe를 제거한다. * 버전 Lite 1.11의 경우, 1. 'regedit' 이나 기타 레지스트리 편집 프로그램을 통해서 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 위치의 레지스트리에서 "UpdateComponent" 키를 제거한다. 2. 컴퓨터를 재부팅하거나 Lib32.exe를 종료한다. 3. 윈도우즈 디렉토리에서 트로이 목마 프로그램 Lib32.exe를 제거한다. -- 또는 -- 백신 프로그램(안티바이러스 프로그램)을 이용하여 치료해야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)