2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- Backdoor-W32/RBot.96768
- 바이러스 종류
- Backdoor
- 실행환경
- Windows
- 증상요약
- 타켓이 되는 시스템의 정보열람, 서비스 거부 공격, 프로세스 종료
- 위험등급
- 보통
- 확산방법
- 네트워크, 보안취약성
- 치료방법
- <span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br>
<br>
- ※ 상세 설명
- 네트워크 공유 폴더와, 윈도우 보안패치 헛점등을 이용해서 전파및 설치된다.
Backdoor 가 실행 되면, 일반적으로 윈도우 시스템 폴더
(win9x: C:\Windows\system, win XP: C:\Windows\system32, win2000, NT : C:\WinNT\system32)
에 OfficeGUI1.exe(96,768 Bytes) 파일이 설치된다.
이때 해당 파일이 동작하게 되면 자신을 다음과 같이 레지스트리에
등록되어 다음 부팅시 실행되도록 조작 한다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
항목에
MS Office1 Startup = OfficeGUI1.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에
MS Office1 Startup = OfficeGUI1.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
항목에
MS Office1 Startup = OfficeGUI1.exe
HKEY_CURRENT_USER\Software\Microsoft\OLE
항목에
Microsoftf smss Control = smss.pif
을 생성한다.
다음과 같은 정보를 이용하여 시스템 권한 얻기를 시도 한다.
12345
123456
1234567
12345678
123456789
1234567890
access
accounting
accounts
admin
administrador
administrat
administrateur
administrator
admins
backup
bitch
blank
brian
changeme
chris
cisco
compaq
computer
control
database
databasepass
databasepassword
db1234
dbpass
dbpassword
default
domain
domainpass
domainpassword
exchange
george
guest
hello
homeuser
internet
intranet
katie
linux
login
loginpass
nokia
oeminstall
oemuser
office
oracle
orainstall
outlook
owner
pass1234
passwd
password
password1
peter
qwerty
server
siemens
sqlpassoainstall
staff
student
susan
system
teacher
technical
win2000
win2k
win98
windows
winnt
winpass
winxp
wwwadmin
백도어로서 동작 하게되면, 다음과 같은 시스템 오동작이 일어날 수 있다.
1. 파일 실행
2. IP 주소와 포트를 스캔
3. 타겟 시스템에 ping 공격
4. 파일 다운로드
5. 프로세스 종료
6. 익스플로러 강제 실행
그리고 이 백도어는 WebDav 버퍼 오버 플로우 위험, RPC/DCOM, RPCSS Servie,
LSASS 오류 위험등을 이용하므로, 다음 보안패치를 권고한다.
*MS03-007 윈도우 구성요소 오류
http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp
*MS03-026 RPC 버퍼 오버런 오류
http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
*MS03-039 RPCSS 서비스 버퍼 오버런 오류
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
*MS04-011 RPCSS 원격코드 실행
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요