2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
터보백신 소개
백신 패턴 업데이트
바이러스 통계
바이러스 DB
악성코드 DB
이름
Backdoor-W32/SdBot.63488
바이러스 종류
Backdoor
실행환경
Windows
증상요약
타켓이 되는 시스템의 정보열람, 보안설정 변경, 프로세스 종료
위험등급
보통
확산방법
네트워크, 보안취약성
치료방법
<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br> 상세설명  진단/치료방법
※ 상세 설명
네트워크 공유 폴더와, 윈도우 보안패치 헛점등을 이용해서 전파및 설치된다. Backdoor 가 실행 되면, 일반적으로 윈도우 폴더 (win9x: C:\Windows, win XP: C:\Windows, win2000, NT : C:\WinNT) 에 MCSECURE.EXE(63,488 Bytes) 파일이 설치된다. 그리고 Hpdriver.sys(7,168 bytes)을 윈도우 시스템 폴더(win9x: C:\Windows\system, win XP: C:\Windows\system32, win2000, NT : C:\WinNT\system32) 에 생성한다. 이 파일은 터보백신 제품군에서 Trojan-W32/AgentRootKit.7168로 진단 한다. 이때 해당 파일이 동작하게 되면 자신을 다음과 같이 레지스트리에 등록되어 다음 부팅시 실행되도록 조작 한다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcsecure 항목에 (windows 9x, xp) ImagePath = c:\windows\MCSECURE.EXE (windows 2000, NT) ImagePath = c:\winnt\MCSECURE.EXE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mcsecure 항목에 DisplayName = Mcsecure HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Hpdriver 항목에 (windows 9x) ImagePath = c:\windows\system\Hpdriver.sys (windows xp) ImagePath = c:\windows\system32\Hpdriver.sys (windows 2000, NT) ImagePath = c:\winnt\system\Hpdriver.sys 을 생성한다. 그리고 다음처럼 윈도우 보안셋팅을 조작 한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center 항목에 AntiVirusDisableNotify = "dword:00000001" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center 항목에 FirewallDisableNotify = "dword:00000001" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center 항목에 AntiVirusOverride = "dword:00000001" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center 항목에 FirewallOverride = "dword:00000001" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center 항목에 UpdatesDisableNotify = "dword:00000001" HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate 항목에 DoNotAllowXPSP2 = "dword:00000001" 기본값은 dword:00000000 이다. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile 항목에 EnableFirewall = "dword:00000000" HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile 항목에 EnableFirewall = "dword:00000000" 의 유저 셋팅을 변경한다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc 항목에 Start = "dword:00000004" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry 항목에 Start = "dword:00000004" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger 항목에 Start = "dword:00000004" 기본값은 dword:00000002 이다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr 항목에 Start = "dword:00000004" 기본값은 dword:00000003 이다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control 항목에 WaitToKillServiceTimeout = "7000" 기본값은 20000 이다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole 항목에 EnableDCOM = "N" 기본값은 Y 이다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 항목에 restrictanonymous = "dword:00000001" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\ 항목에 AutoShareWks = "dword:00000000" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\ 항목에 AutoShareServer = "dword:00000000" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters\ 항목에 AutoShareWks = "dword:00000000" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters\ 항목에 AutoShareServer = "dword:00000000" 유저셋팅 값을 변경한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update 항목에 AUOption = "dword:00000001" 기본값은 dword:00000000 이다. 백도어로서 동작 하게되면, 다음과 같은 시스템 오동작이 일어날 수 있다. 1. 파일 실행및 삭제 2. 포트감시 3. 키보드로 타이핑한 내용을 저장 4. 파일 다운로드 5. 프로세스 종료 6. ftp및 proxy 서버로 동작가능 7. 시스템 하드웨어 정보 수집 그리고 이 백도어는 몇몇 Worm 류의 실행을 방해 하며 프로세스플 종료 시키는 기능을 가지고 있으나 확인되지 않았다. WebDav 버퍼 오버 플로우 위험, RPC/DCOM, RPCSS Servie, LSASS 오류 위험등을 이용하므로, 다음 보안패치를 권고한다. *MS03-007 윈도우 구성요소 오류 http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp *MS03-026 RPC 버퍼 오버런 오류 http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp *MS03-039 RPCSS 서비스 버퍼 오버런 오류 http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp *MS04-011 RPCSS 원격코드 실행 http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
이전글
Backdoor-W32/SdBot.197632
다음글
Backdoor-W32/RBot.96768
목록