|
*감염
경로
네트워크
공유
폴더와,
윈도우
보안패치
헛점등을
이용해서
전파및
설치된다.
MS03-039 RPC
DCOM2 취약점
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
MS04-011 Microsoft Windows용 보안 업데이트 중 LSASS 취약점 http://www.microsoft.com/korea/technet/security/bulletin/ms04-011.asp
사용자
계정의
취약한
암호에
의해
감염
윈도우
NT계열(윈도우
NT,2000,XP)의
관리
목적
공유폴더에
대한
사용자
로그인
계정의
암호가
취약한
경우
시스템에
접속
후
실행.
사용자
로그인
계정에
대입하는
암호
리스트는
아래와
같다.
intranet
winpass
blank
office
control
nokia
siemens
compaq
cisco
orainstall
sqlpassoainstall
db1234
databasepassword
databasepass
dbpassword
dbpass
access
domainpassword
domainpass
domain
hello
bitch
exchange
backup
technical
loginpass
login
katie
george
chris
brian
susan
peter
win2000
winnt
winxp
win2k
win98
windows
oeminstall
oemuser
homeuser
accounting
accounts
internet
outlook
qwerty
server
system
changeme
linux
1234567890
123456789
12345678
1234567
123456
12345
pass1234
passwd
password
password1
oracle
database
default
guest
wwwadmin
teacher
student
owner
computer
staff
admins
administrat
administrateur
administrador
administrator
*증상
윈도우
시스템
폴더에
plscdksx.exe 라는
파일을
생성한다.
|
윈도우
시스템
폴더 |
|
95/98/ME |
C:\Windows\System |
|
NT/2000 |
C\WinNT\System32 |
|
XP |
Windows\System32 |
.
그리고
레지스트리에
다음
value를
등록해
윈도우
구동시
자동
실행되도록
만든다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“program
access “ = plscdksx.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
“program
access “ = plscdksx.exe
감염된
시스템은
TCP 임의의
포트를
LISTENING 상태로
열어둔다.
(상대로부터
접속을
기다리는
상태)
그
후
사용자
몰래
접속
해
스팸
메일
발송,
애드웨어
설치,
데이터
삭제,
그리고
개인의
컴퓨터
사용
내역을
훔쳐보거나
각종
파일(개인
문서,
기밀
문서
등)을
외부로
빼가는
보안상
문제도
발생할
수
있음
-뮤텍스
생성
다음
뮤텍스(Mutex)를
생성해
중복
실행을
방지한다.
-
idksx
- 감염된 시스템은 실행중인 특정 프로세스를
강제 종류 시킨다.
ssate.exe
winsys.exe
winupd.exe
SysMonXP.exe
bbeagle.exe
Penis32.exe
mscvb32.exe
sysinfo.exe
등등.. |
