English

◀◁ 뒤로 취약점ID 24071 위험도 40 포트 3127 프로토콜 TCP 분류 BackDoor 상세설명 해당 Windows 시스템은 'W32.MyDoom' 웜에 감염된 것으로 나타난다. 'W32.MyDoom'은 email과 Kazaa p2p 네트워크를 통해 전파하는 웜이다. 감염되면 웜은 쓰레기 데이터가 들어있는 Windows의 메모장을 연다. email에서는 여러가지의 제목과 본문 그리고 첨부 명들을 사용한다. 또한 SCO.COM에 대해 DDoS 공격을 시도한다. 웜은 Windows의 System 폴더에 'taskmon.exe' 라는 이름으로 자신을 복사하고 레지스트리에 다음 엔트리를 추가한다: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "TaskMon" = %sysdir%\taskmon.exe 실패하면 다음 엔트리를 추가한다: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "TaskMon" = %sysdir%\taskmon.exe 웜은 감염된 컴퓨터들에 백도어를 오픈한다. 이것은 system32 디렉토리에 새로운 SHIMGAPI.DLL 파일을 심어 EXPLORER.EXE라는 자식 프로세스로서 실행시킴으로써 행해진다. SHIMGAPI.DLL 파일은 접속들을 받아주기 위해 3127에서 3198 사이의 TCP 포트들을 연속하여 오픈하고 접속 대기한다. 이 백도어 개체들 중의 하나는 이미 감염된 시스템 상에 추가적인 실행파일을 설치하거나 실행시키는 역할을 한다. * 참고 사이트: http://www.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html http://vil.nai.com/vil/content/v_100983.htm http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R http://www.europe.f-secure.com/v-descs/novarg.shtml * 영향을 받는 플랫폼: Microsoft Windows Any version 해결책 백신 프로그램 (안티바이러스 프로그램)을 이용하여 감염된 컴퓨터로부터 바이러스들을 제거하여야 한다. 만약 안티바이러스 프로그램이 설치되어 있지 않다면 다음 바이러스 스캐너 중의 하나를 다운로드하여 설치한다: - Norton AntiVirus: http://www.symantec.com/security_response/definitions/download/detail.jsp?gid=n95 - McAfee VirusScan: http://www.mcafee.com - Trend Micro Internet Security: http://downloadcenter.trendmicro.com/index.php?regs=NABU&clk=latest&clkval=280&lang_loc=1 - Comodo BOClean 4.02: http://www.comodo.com/home/internet-security/anti-malware.php 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL 14958 (ISS)