보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
Backdoor-W32/RBot.96768
 바이러스 종류
Backdoor
 실행환경
Windows
 발견일
2005년06월25일
 제작지
불분명
 위험등급
보통
 확산방법
네트워크, 보안취약성
 바이러스 크기
96,768 Bytes
 첨부파일
 메일제목
  
 증상요약
  타켓이 되는 시스템의 정보열람, 서비스 거부 공격, 프로세스 종료
 치료방법

터보백신 제품군으로 진단/치료 가능합니다.



  
 
상세설명
네트워크 공유 폴더와, 윈도우 보안패치 헛점등을 이용해서 전파및 설치된다.

Backdoor 가 실행 되면, 일반적으로 윈도우 시스템 폴더
(win9x: C:\Windows\system, win XP: C:\Windows\system32, win2000, NT : C:\WinNT\system32)
에 OfficeGUI1.exe(96,768 Bytes) 파일이 설치된다.

이때 해당 파일이 동작하게 되면 자신을 다음과 같이 레지스트리에
등록되어 다음 부팅시 실행되도록 조작 한다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
항목에

MS Office1 Startup = OfficeGUI1.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에

MS Office1 Startup = OfficeGUI1.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
항목에

MS Office1 Startup = OfficeGUI1.exe

HKEY_CURRENT_USER\Software\Microsoft\OLE
항목에

Microsoftf smss Control = smss.pif

을 생성한다.


다음과 같은 정보를 이용하여 시스템 권한 얻기를 시도 한다.

12345
123456
1234567
12345678
123456789
1234567890
access
accounting
accounts
admin
administrador
administrat
administrateur
administrator
admins
backup
bitch
blank
brian
changeme
chris
cisco
compaq
computer
control
database
databasepass
databasepassword
db1234
dbpass
dbpassword
default
domain
domainpass
domainpassword
exchange
george
guest
hello
homeuser
internet
intranet
katie
linux
login
loginpass
nokia
oeminstall
oemuser
office
oracle
orainstall
outlook
owner
pass1234
passwd
password
password1
peter
qwerty
server
siemens
sqlpassoainstall
staff
student
susan
system
teacher
technical
win2000
win2k
win98
windows
winnt
winpass
winxp
wwwadmin


백도어로서 동작 하게되면, 다음과 같은 시스템 오동작이 일어날 수 있다.

1. 파일 실행
2. IP 주소와 포트를 스캔
3. 타겟 시스템에 ping 공격
4. 파일 다운로드
5. 프로세스 종료
6. 익스플로러 강제 실행

그리고 이 백도어는 WebDav 버퍼 오버 플로우 위험, RPC/DCOM, RPCSS Servie,

LSASS 오류 위험등을 이용하므로, 다음 보안패치를 권고한다.

*MS03-007 윈도우 구성요소 오류
http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp

*MS03-026 RPC 버퍼 오버런 오류
http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp

*MS03-039 RPCSS 서비스 버퍼 오버런 오류
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp

*MS04-011 RPCSS 원격코드 실행
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록