|
*감염
경로
네트워크
공유
폴더와,
윈도우
보안패치
헛점등을
이용해서
전파및
설치된다.
*증상
-파일
생성
Backdoor
가
실행
되면,
일반적으로
윈도우
폴더에
drvsig.exe파일이
설치
된다
윈도우
시스템
폴더에는
rdriv.sys
라는
파일을
생성한다.
|
윈도우
시스템
폴더 |
윈도우
폴더 |
|
95/98/ME |
C:\Windows\System |
C:\Windows |
|
NT/2000 |
C\WinNT\System32 |
C:\WinNT |
|
XP |
Windows\System32 |
C:\Windows |
-레지스트리
등록.
감염된
시스템은
자신을
다음과
같이
레지스트리에
등록해
다음
부팅시
실행되도록
조작
한다.
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\Driver Signature Services
ImagePath = 윈도우 폴더\drvsig.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv
ImagePath = 윈도우 시스템
폴더\rdriv.sys
백도어로서
동작
하게되면,
다음과
같은
시스템
오동작이
일어날
수
있다.
1. 파일
실행및
삭제
2. 포트감시
3. 키보드
타이핑
내용
저장
4. 파일
다운로드
5. ftp및
IRC 서버로
동작가능
6. 시스템
하드웨어
정보
수집
그리고
이
백도어는
LSASS 보안헛점
등 윈도우
보안
취약점을
이용하므로,
다음
보안패치를
권고한다.
MS03-039
RPC DCOM2 취약점
-http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
MS04-011 Microsoft Windows용 보안 업데이트 중 LSASS 취약점
-
http://www.microsoft.com/korea/technet/security/bulletin/ms04-011.asp
MS05-039 플러그 앤 플레이의 취약점으로 인한 원격 코드 실행 및 권한
상승 문제점
-
http://www.microsoft.com/korea/technet/security/bulletin/MS05-039.mspx
|
