(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

Backdoor-W32/SdBot.134144

바이러스 종류

Backdoor

실행환경

Windows

발견일

2006년05월16일

제작지

불분명

위험등급

위험

확산방법

네트워크, 보안취약점

바이러스 크기

134,144 Byte

첨부파일

메일제목

증상요약

타켓이 되는 시스템의 정보수집

치료방법

터보백신 제품군으로 진단/치료 가능합니다.

상세설명

*감염 경로

네트워크 공유 폴더와, 윈도우 보안패치 헛점등을 이용해서 전파및 설치된다.

*증상

-파일 생성

Backdoor 가 실행 되면, 일반적으로 윈도우 폴더에 drvsig.exe파일이 설치 된다
윈도우 시스템 폴더에는 rdriv.sys 라는 파일을 생성한다.

윈도우 시스템 폴더

윈도우 폴더

95/98/ME

C:\Windows\System

C:\Windows

NT/2000

C\WinNT\System32

C:\WinNT

Windows\System32

C:\Windows

-레지스트리 등록.

감염된 시스템은 자신을 다음과 같이 레지스트리에 등록해 다음 부팅시 실행되도록 조작 한다.

HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Driver Signature Services

ImagePath = 윈도우 폴더\drvsig.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv

ImagePath = 윈도우 시스템 폴더\rdriv.sys

백도어로서 동작 하게되면, 다음과 같은 시스템 오동작이 일어날 수 있다.

1. 파일 실행및 삭제
2. 포트감시
3. 키보드 타이핑 내용 저장
4. 파일 다운로드
5. ftp및 IRC 서버로 동작가능
6. 시스템 하드웨어 정보 수집

그리고 이 백도어는 LSASS 보안헛점 등 윈도우 보안 취약점을
이용하므로, 다음 보안패치를 권고한다.

MS03-039 RPC DCOM2 취약점 -http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp

MS04-011 Microsoft Windows용 보안 업데이트 중 LSASS 취약점
- http://www.microsoft.com/korea/technet/security/bulletin/ms04-011.asp

MS05-039 플러그 앤 플레이의 취약점으로 인한 원격 코드 실행 및 권한 상승 문제점
- http://www.microsoft.com/korea/technet/security/bulletin/MS05-039.mspx

예방 및 수동조치방법