이름

Backdoor-W32/SdBot.197632

바이러스 종류

Backdoor

실행환경

Windows

증상요약

타켓이 되는 시스템의 정보수집

위험등급

보통

확산방법

네트워크, 보안취약성

치료방법

<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br>  

※ 상세 설명

네트워크 공유 폴더와, 윈도우 보안패치 헛점등을 이용해서 전파및 설치된다. Backdoor 가 실행 되면, 일반적으로 윈도우 시스템 폴더 (win9x: C:\Windows\system, win XP: C:\Windows\system32, win2000, NT : C:\WinNT\system32) 에 iexplore.exe(197,632 Bytes) 파일이 설치된다. 파일명은 랜덤하게 변하므로 다른 명일수 있다. 이때 해당 파일이 동작하게 되면 자신을 다음과 같이 레지스트리에 등록되어 다음 부팅시 실행되도록 조작 한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 (windows 9x) 랜덤 값 = c\windows\system\랜덤파일명 (windows xp) 랜덤 값 = c\windows\system32\랜덤파일명 (windows 2000, NT) 랜덤 값 = c\windows\system32\랜덤파일명 을 생성한다. 다음과 같은 정보를 이용하여 시스템 권한 얻기를 시도 한다. 12345 123456 1234567 12345678 123456789 1234567890 access accounting accounts admin administrador administrat administrateur administrator admins backup bitch blank brian changeme chris cisco compaq computer control database databasepass databasepassword db1234 dbpass dbpassword default domain domainpass domainpassword exchange george guest hello homeuser internet intranet katie linux login loginpass nokia oeminstall oemuser office oracle orainstall outlook owner pass1234 passwd password password1 peter qwerty server siemens sqlpassoainstall staff student susan system teacher technical win2000 win2k win98 windows winnt winpass winxp wwwadmin 백도어로서 동작 하게되면, 다음과 같은 시스템 오동작이 일어날 수 있다. 1. 파일 실행및 삭제 2. 포트감시 3. 키보드 타이핑 내용 저장 4. 파일 다운로드 5. ftp및 IRC 서버로 동작가능 6. 시스템 하드웨어 정보 수집 그리고 이 백도어는 WebDav 버퍼 오버 플로우 위험, LSASS 보안헛점 등을 이용하므로, 다음 보안패치를 권고한다. *MS03-007 윈도우 구성요소 오류 http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp *MS04-011 RPCSS 원격코드 실행 http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요