이름

Backdoor-W32/SdBot.35360.B

바이러스 종류

Backdoor

실행환경

Windows 2000 계열

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 제품군으로 치료 가능. 이후 다음과 같은 암호나 로그인 설정이라면 다른 형태로 바꿔줘야 한다. 예) 로그인 설정 : Administrator, administrator, Admin, admin등. 암호 : 없는 경우, admin등.  

※ 상세 설명

<font color="blue">[특징]</font><br><br> 인터넷에 소스 코드가 공개되어 있어서 많은 변종이 계속해서 발견되고 있다.<br><br> <font color="blue">[확산 방법]</font><br><br> 기존에는 IRC(Internet Relay Chat) 사용자들을 통해서만 감염이 되었지만<br> 최근에 발견되는 변종은 윈도우즈 2000의 IPC$ 공유를 통해서 확산되는데,<br> 만약 시스템에 암호가 없거나 알아 맞추기 쉬운 암호로 되어 있다면 쉽게<br> 감염이 될 수 있으므로 맞추기 어려운 암호로 설정해야 한다.<br><br> <font color="blue">[파일 생성]</font><br><br> 윈도우즈 시스템 폴더(ex: C:\WinNT\System32) 에 syscfg32.exe, STDE9.exe<br> 을 생성한다.<br><br> <font color="blue">[레지스트리 생성]</font><br><br> HKEY_LOCAL_MACHINE\Software\MicroSoft\Windows\CurrentVersion\Run<br> 에 Configuration Loader = syscfg32.exe 를 기록한다.<br><br> <img src="/info/virus_db/images/98.jpg"><br><br> HKEY_LOCAL_MACHINE\Software\MicroSoft\Windows\CurrentVersion\RunServices<br> 에 Configuration Loader = syscfg32.exe 를 기록한다.<br><br> <img src="/info/virus_db/images/98-2.jpg"><br><br> <font color="blue">[증상]</font><br><br> - 외부에서 원격제어가 가능하도록 특정포트를 오픈한다.<br> - 임의의 IP 를 대상으로 DoS(Denial of Service) 공격을 한다.<br> - IRC 명령어를 이용하여 타 IRC채널의 감염시도 및 특정 동작을 수행 한다.<br> - 임의 파일을 다운로드 및 실행한다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요