|
*감염 경로
윈도우 보안 취약점을 통해 감염 , 윈도우 NT계열(윈도우 NT,2000,XP)의 관리 목적 공유 폴더에 대한 사용자 로그인 계정의 암호가 취약한 경우 시스템에 접속해 Backdoor
를 실행한다.
Ex) 00000, GEUST, PASSWORD, admin, admins,
adminstrator 등등..
*증상
윈도우 시스템 폴더에 winded.exe 라는 파일을 생성한다.
|
윈도우 시스템 폴더 |
|
95/98/ME |
C:\Windows\System |
|
NT/2000 |
C\WinNT\System32 |
|
XP |
Windows\System32 |
.
그리고 레지스트리에 다음 value를 등록해 윈도우 구동시 자동 실행되도록 만든다.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE
“Microsoft System Debug” = winded.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“Microsoft System Debug” = winded.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
“Microsoft System Debug” = winded.exe
감염된 시스템은 TCP 임의의 포트를 LISTENING 상태로 열어둔다. (상대로부터 접속을 기다리는 상태)
그 후 사용자 몰래 접속 해 스팸 메일 발송, 애드웨어 설치, 데이터 삭제, 그리고 개인의 컴퓨터 사용 내역을 훔쳐보거나 각종 파일(개인 문서, 기밀 문서 등)을 외부로 빼가는 보안상 문제도 발생할 수 있음
그리고 시스템에 실행중인 프로세스들을 강제 종료 시킨다
-뮤텍스 생성
다음 뮤텍스(Mutex)를 생성해 중복 실행을 방지한다.
-
.:H:. |
