2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
이름
Backdoor-W32/RBot.71148
바이러스 종류
Backdoor
실행환경
Windows
증상요약
레지스트리 변경, 파일 생성
위험등급
보통
확산방법
네트워크, 보안취약성
치료방법
<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br> 상세설명  진단/치료방법
※ 상세 설명
이 웜은 윈도우 보안헛점과 네트웍 공유 폴더를 통하여 전파되며, 감염된 메일이나 파일을 특정 서버로부터 받을수 있다. [특징] 백도어가 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 svchoes.exe(71,148 Byte) 파일을 생성한다. 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 System Updated = "svchoes.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 항목에 System Updated = "svchoes.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에 System Updated = "svchoes.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 항목에 System Updated = "svchoes.exe" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa 항목에 System Updated = "svchoes.exe" HKEY_CURRENT_USER\Software\Microsoft\OLE 항목에 System Updated = "svchoes.exe" HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa 항목에 System Updated = "svchoes.exe" 을 생성한다. 그리고 다음과 같은 정보를 이용하여 시스템 권한 얻기를 시도 한다. 12345 123456 1234567 12345678 123456789 1234567890 access accounting accounts admin administrador administrat administrateur administrator admins backup bitch blank brian changeme chris cisco compaq computer control database databasepass databasepassword db1234 dbpass dbpassword default domain domainpass domainpassword exchange george guest hello homeuser internet intranet katie linux login loginpass nokia oeminstall oemuser office oracle orainstall outlook owner pass1234 passwd password password1 peter qwerty server siemens sqlpassoainstall staff student susan system teacher technical win2000 win2k win98 windows winnt winpass winxp wwwadmin 백도어로서 동작 하게되면, 다음과 같은 시스템 오동작이 일어날 수 있다. 1. 파일 실행및 삭제 2. 포트감시 3. 키보드 타이핑 내용 저장 4. 파일 다운로드 5. ftp및 IRC 서버로 동작가능 6. 시스템 하드웨어 정보 수집 7. 원격접속및 로그 오프 기능 그리고 이 백도어는 RPCSS 원격코드 실행 위험, ASN .1의 취약점으로 인한 코드 실행 문제 등을 이용하므로, 다음 보안패치를 권고한다. *MS03-039 RPCSS 서비스의 버퍼 오버런 http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp *MS04-007 ASN .1의 취약점으로 인한 코드 실행 문제 http://www.microsoft.com/korea/technet/security/bulletin/MS04-007.asp
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요