(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

Backdoor-W32/RBot.184320

바이러스 종류

Backdoor

실행환경

Windows

발견일

2005년09월28일

제작지

불분명

위험등급

보통

확산방법

네트워크 공유폴더, 보안취약성

바이러스 크기

184,320 Byte

첨부파일

메일제목

증상요약

레지스트리 변경, 파일 생성, CD Key 유출

치료방법

터보백신 제품군으로 진단/치료 가능합니다.

상세설명

이 웜은 윈도우 보안헛점과 네트웍 공유 폴더를 통하여 전파되며,

감염된 메일이나 파일을 특정 서버로부터 받을수 있다.

[특징]

백도어가 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32)
에 bott.pif(194,560 Byte) 파일을 생성한다.

또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에

Microsoft Intrenet Explorer = "bott.pif"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
항목에

Microsoft Intrenet Explorer = "bott.pif"

HKEY_CURRENT_USER\Software\Microsoft\Ole
항목에

Microsoft Intrenet Explorer = "bott.pif"

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
항목에

Microsoft Intrenet Explorer = "bott.pif"

을 생성한다.

그리고 다음과 같은 정보를 이용하여 시스템 권한 얻기를 시도 한다.

12345
123456
1234567
12345678
123456789
1234567890
access
accounting
accounts
admin
administrador
administrat
administrateur
administrator
admins
backup
bitch
blank
brian
changeme
chris
cisco
compaq
computer
control
database
databasepass
databasepassword
db1234
dbpass
dbpassword
default
domain
domainpass
domainpassword
exchange
george
guest
hello
homeuser
internet
intranet
katie
linux
login
loginpass
nokia
oeminstall
oemuser
office
oracle
orainstall
outlook
owner
pass1234
passwd
password
password1
peter
qwerty
server
siemens
sqlpassoainstall
staff
student
susan
system
teacher
technical
win2000
win2k
win98
windows
winnt
winpass
winxp
wwwadmin

백도어로서 동작 하게되면, 다음과 같은 시스템 오동작이 일어날 수 있다.

1. 파일 실행및 삭제
2. 포트감시
3. 키보드 타이핑 내용 저장
4. 파일 다운로드
5. ftp및 IRC 서버로 동작가능
6. 시스템 하드웨어 정보 수집
7. 원격접속및 로그 오프 기능
8. 서비스 거부(DoS)공격

그리고 이 백도어는 RPCSS 원격코드 실행 위험, RPC 인터페이스 버퍼 오버런 보안헛점 등을

이용하므로, 다음 보안패치를 권고한다.

*MS04-011 RPCSS 원격코드 실행
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp

*MS03-026 RPC 인터페이스의 버퍼 오버런
http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp

마지막으로 다음과 같은 게임의 CD Key를 추출한다.

Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Chrome
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
Counter-Strike (Retail)
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden & Dangerous 2
IGI 2: Covert Strike
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
NHL 2002
NHL 2003
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights (Hordes of the Underdark)
Neverwinter Nights (Shadows of Undrentide)
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Soldier of Fortune II - Double Helix
Soldiers Of Anarchy
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004

예방 및 수동조치방법