|
*감염
경로
-윈도우
보안
취약점을
통해
감염
-사용자
계정의
취약한
암호에
의해
감염
윈도우
NT계열(윈도우
NT,2000,XP)의
관리
목적
공유폴더에
대한
사용자
로그인
계정의
암호가
취약한
경우
시스템에
접속
후
실행.
대입하는 암호는 아래와 같다.
admin
server
asdfgh
!@#$%
654321
123456
12345
administrator.
*증상
-파일
생성
윈도우
시스템
폴더에
mswinpad.exe라는
파일을
생성한다.
|
윈도우
시스템
폴더 |
|
95/98/ME |
C:\Windows\System |
|
NT/2000 |
C\WinNT\System32 |
|
XP |
Windows\System32 |
-레지스트리
등록
레지스트리에
다음
value를
등록해
윈도우
구동시
자동
실행되도록
만든다.
HKEY_LOCAL_MACHINE\system\currentcontrolse\services\msporc
“ImagePath”
= 윈도우
폴더\mswinpad.exe
감염된
시스템은
TCP 임의의
포트를
LISTENING 상태로
열어둔다.
(상대로부터
접속을
기다리는
상태)
그
후
사용자
몰래
접속
해
스팸
메일
발송,
애드웨어
설치,
데이터
삭제,
그리고
개인의
컴퓨터
사용
내역을
훔쳐보거나
각종
파일(개인
문서,
기밀
문서
등)을
외부로
빼가는
보안상
문제도
발생할
수
있음
-뮤텍스
생성
다음
뮤텍스(Mutex)를
생성해
중복
실행을
방지한다.
- nylonz
|
Home 
