English

◀◁ 뒤로 취약점ID 24087 위험도 40 포트 8888 프로토콜 TCP 분류 BackDoor 상세설명 해당 Windows 시스템에는 Zotob 웜의 백도어가 설치되어 있는 것으로 나타난다. W32.Zotob.A는 (Microsoft 보안 게시물 MS05-039에 설명되어 있는) Microsoft Windows Plug and Play 버퍼 오버플로우 취약점을 도용함으로써 전파하는 웜이다. 취약한 시스템이 발견되었을 때 버퍼 오버플로우와 쉘 코드가 대상 시스템으로 보내지며 FTP 스크립트를 실행(2pac.txt 파일이 스크립트 파일명)한 후 송신자 시스템에서 웜을 다운로드하여 웜을 실행하기 위하여 FTP.EXE를 시작시킨다 (TCP 포트 33333를 통해 haha.exe를 감염시킨다). W32.Zotob.A는 다음과 같은 특징들을 가지고 있다: - 백도어 설비들을 가지고 있다 (TCP 포트 8888). - Internet Relay Chat (IRC) 채널들을 통해 원격으로 제어될 수 있다. - WINDOWS SYSTEM 디렉토리에 botzor.exe 파일을 생성하고 기동 시에 웜이 로딩되도록 Run 레지스트리 키들을 생성한다. - 안티 바이러스 웹 사이트들에 대한 액세스가 차단되도록 HOSTS 파일에 내용이 추가된다. - Zotob 및 변종들은 Windows 업데이트 서비스를 작동 중지시킨다. * 참고 사이트: http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.a.html http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=135467 * 영향을 받는 플랫폼: Microsoft Windows Any version 해결책 즉시 이 웜을 제거하여야 한다. 대부분의 안티바이러스 소프트웨어 회사들은 W32.Zotob.A를 제거해 주는 업데이트들을 가지고 있다. 따라서 자체 라이브 업데이트(Live Update) 기능을 통하여 이용 가능한 업데이트들을 다운로드받고 안티바이러스 소프트웨어를 이용하여 W32.Zotob.A를 제거하여야 한다. -- 그리고 -- 시스템의 보안 상의 위협을 최소화하기 위하여 Microsoft Windows를 위한 모든 패치들이 적용되어야 한다. 또한 모든 사용자 계정들에 대해 패스워드 정책을 강화하여야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)