English

◀◁ 뒤로 취약점ID 24070 위험도 40 포트 6777 프로토콜 TCP 분류 BackDoor 상세설명 해당 Windows 시스템은 'W32.Bagle' 웜에 감염된 것으로 나타난다. 이 스캐너는 대상 호스트의 TCP 포트 6777번에 접속하여 감염된 호스트를 깨끗이 하기 위해 웜의 내장된 삭제 명령을 사용, 웜의 제거를 시도한다. 'W32.Bagle'은 자체 SMTP 엔진을 이용하여 찾아낸 임의의 주소들에 대해 웹 사이트를 액세스하고 email을 보내는 대량 메일 발송형 웜이다. 일단 웜이 설치되면 calc.exe를 실행시키고 다음 레지스트리 키에 문자열 값 ("d3dupdate.exe" = "%system%\bbeagle.exe")을 추가한다: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 웜은 또한 트로이목마 백도어 기능을 가지고 있다. 웜은 자신을 서버로 설치하고 TCP 포트 6777을 이용하여 감염된 호스트에 대한 비인가된 액세스를 허용한다. 공격자는 이 백도어를 이용하여 다음과 같은 행위들을 할 수 있다: - 공격자가 마치 현재 사용자인 듯이 로컬 시스템으로 명령들을 실행시킨다. - 로컬 시스템 상에 실행파일들을 다운로드 한다. - 웜 프로그램을 종료하고 삭제한다. * 참고 사이트: http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.a@mm.html * 영향을 받는 플랫폼: Microsoft Windows Any version 해결책 웜은 스캐너에 의해 제거되었을 수 있다. 하지만 정말 웜이 제거되었는지를 확실히 해 둘 필요가 있다. 백신 프로그램 (안티바이러스 프로그램)을 이용하여 감염된 컴퓨터로부터 웜을 점검하여야 한다. 만약 안티바이러스 프로그램이 설치되어 있지 않다면 다음 바이러스 스캐너 중의 하나를 다운로드하여 설치한다: - Norton AntiVirus: http://www.symantec.com/security_response/definitions/download/detail.jsp?gid=n95 - McAfee VirusScan: http://www.mcafee.com - Trend Micro Internet Security: http://downloadcenter.trendmicro.com/index.php?regs=NABU&clk=latest&clkval=280&lang_loc=1 - Comodo BOClean 4.02: http://www.comodo.com/home/internet-security/anti-malware.php 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)