º¸¾ÈIT´º½º º¸¾È±Ç°í¹® º¸¾ÈTip º¸¾Èó¹æ º¸¾ÈÅë½Å º¸¾È¿ë¾î º¸¾È¹é½Å¸ÞÀÏ º¸¾ÈĶ¸°´õ
º¸¾ÈÀ§ÇùDB ã±â
º¸¾ÈÄ®·³
¿¡ºê¸®Á¸ Zip¿¡ºê¸®Á¸ See¿¡ºê¸®Á¸ FTP

  º¸¾ÈIT´º½º
  º¸¾È±Ç°í¹®
  º¸¾ÈTip
  º¸¾Èó¹æ
  º¸¾ÈÅë½Å
  º¸¾È¿ë¾î
  º¸¾È¹é½Å¸ÞÀÏ
  º¸¾ÈĶ¸°´õ
  º¸¾ÈÀ§ÇùDBã±â
  º¸¾ÈÄ®·³

   º¸¾ÈÀ§ÇùDBã±â
   
  
 ¸ñ·Ï |  À­±Û |  ¾Æ·§±Û  
Backdoor-W32/RBot.211456.L
 ¹ÙÀÌ·¯½º Á¾·ù
Backdoor
 ½ÇÇàȯ°æ
Windows
 ¹ß°ßÀÏ
2006³â03¿ù24ÀÏ
 Á¦ÀÛÁö
ºÒºÐ¸í
 À§Çèµî±Þ
À§Çè
 È®»ê¹æ¹ý
³×Æ®¿öÅ©, º¸¾ÈÃë¾àÁ¡
 ¹ÙÀÌ·¯½º Å©±â
211,456 Byte
 Ã·ºÎÆÄÀÏ
 ¸ÞÀÏÁ¦¸ñ
  
 Áõ»ó¿ä¾à
  ÀÌ Backdoor´Â À©µµ¿ì Ãë¾àÁ¡°ú À©µµ¿ì »ç¿ëÀÚ °èÁ¤ÀÇ Ãë¾àÇÑ ¾ÏÈ£¸¦ ÅëÇØ ÀüÆĵȴÙ. ÇØ´ç Backdoor °¡ ½ÇÇàµÇ¸é À©µµ¿ì ½Ã½ºÅÛ Æú´õ¿¡ windrpd.exe ÆÄÀÏÀ» »ý¼ºÇÏ°í ÀÚ½ÅÀ» ·¹Áö½ºÆ®¸®¿¡ µî·ÏÇÏ¿© À©µµ¿ì ½ÃÀ۽à ÀÚµ¿À¸·Î ½ÇÇàµÇ°Ô ¸¸µç´Ù. ±×¸®°í ƯÁ¤ IRC ¼­¹öÀÇ Ã¤³Î¿¡ Á¢¼ÓÇÏ¿© ¿ÀÆÛ(¹æÀå)°¡ ³»¸®´Â ¸í·É¿¡ µû¶ó ¿©·¯°¡Áö ¾ÇÀÇÀûÀÎ ÀÏÀ» ¼öÇàÇÏ°Ô µÈ´Ù.
 Ä¡·á¹æ¹ý

Åͺ¸¹é½Å Á¦Ç°±ºÀ¸·Î Áø´Ü/Ä¡·á °¡´ÉÇÕ´Ï´Ù.



  
 
»ó¼¼¼³¸í

*°¨¿° °æ·Î

-À©µµ¿ì º¸¾È Ãë¾àÁ¡À» ÅëÇØ °¨¿°

 

-»ç¿ëÀÚ °èÁ¤ÀÇ Ãë¾àÇÑ ¾ÏÈ£¿¡ ÀÇÇØ °¨¿°

 

 : À©µµ¿ì NT°è¿­(À©µµ¿ì NT,2000,XP)ÀÇ °ü¸® ¸ñÀû °øÀ¯Æú´õ¿¡ ´ëÇÑ »ç¿ëÀÚ ·Î±×ÀÎ °èÁ¤ÀÇ ¾ÏÈ£°¡ Ãë¾àÇÑ °æ¿ì ½Ã½ºÅÛ¿¡ Á¢¼Ó ÈÄ ½ÇÇà. »ç¿ëÀÚ ·Î±×ÀÎ °èÁ¤¿¡ ´ëÀÔÇÏ´Â ¾ÏÈ£ ¸®½ºÆ®´Â ¾Æ·¡¿Í °°´Ù.

 

abc123
passwd
SERVER
BACKUP
ACCESS
FILES
WRITE
SHARE
GUEST
SYSTEM
system
Password
PASSWORD
password
ADMINISTRATOR
Administrateur
Administrador
admin123
Admin
ADMIN guest admin
admins
administrat
administrateur
administrador
administrator

µîµî...



*Áõ»ó
-À©µµ¿ì ½Ã½ºÅÛ Æú´õ¿¡ windrpd.exe ¶ó´Â ÆÄÀÏÀ» »ý¼ºÇÑ´Ù.

 

À©µµ¿ì ½Ã½ºÅÛ Æú´õ

 

95/98/ME

 

C:\Windows\System

 

NT/2000

 

C\WinNT\System32

 

XP

 

Windows\System32

 

.


-·¹Áö½ºÆ®¸®¿¡ ´ÙÀ½ value¸¦ µî·ÏÇØ À©µµ¿ì ±¸µ¿½Ã ÀÚµ¿ ½ÇÇàµÇµµ·Ï ¸¸µç´Ù.


HKEY_CURRENT_USER\SOFTWARE\MicrosoftOLE
¡°Microsoft System Application ¡° = windrpd.exe


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
¡°Microsoft System Application ¡° = windrpd.exe



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
¡°Microsoft System Application ¡° = windrpd.exe



-°¨¿°µÈ ½Ã½ºÅÛÀº TCP ÀÓÀÇÀÇ Æ÷Æ®¸¦ LISTENING »óÅ·Π¿­¾îµÐ´Ù. (»ó´ë·ÎºÎÅÍ Á¢¼ÓÀ» ±â´Ù¸®´Â »óÅÂ)

 

±× ÈÄ »ç¿ëÀÚ ¸ô·¡ Á¢¼Ó ÇØ ½ºÆÔ ¸ÞÀÏ ¹ß¼Û, ¾Öµå¿þ¾î ¼³Ä¡, µ¥ÀÌÅÍ »èÁ¦, ±×¸®°í °³ÀÎÀÇ ÄÄÇ»ÅÍ »ç¿ë ³»¿ªÀ» ÈÉÃĺ¸°Å³ª °¢Á¾ ÆÄÀÏ(°³ÀÎ ¹®¼­, ±â¹Ð ¹®¼­ µî)À» ¿ÜºÎ·Î »©°¡´Â º¸¾È»ó ¹®Á¦µµ ¹ß»ýÇÒ ¼ö ÀÖÀ½

 

-¹ÂÅؽº »ý¼º

´ÙÀ½ ¹ÂÅؽº(Mutex)¸¦ »ý¼ºÇØ Áߺ¹ ½ÇÇàÀ» ¹æÁöÇÑ´Ù.

 -
.:H:.


- °¨¿°µÈ ½Ã½ºÅÛÀº ½ÇÇàÁßÀΠƯÁ¤ ÇÁ·Î¼¼½º¸¦ °­Á¦ Á¾·ù ½ÃŲ´Ù.

ssate.exe
winsys.exe

WINUPDATE.EXE
WINTSK32.EXE

VSCAN40.EXE
VPTRAY.EXE

TVMD.EXE
TSADBOT.EXE

µîµî...

 
¿¹¹æ ¹× ¼öµ¿Á¶Ä¡¹æ¹ý
¹«´ÜÀüÀç¤ý¹èÆ÷±ÝÁö
¿¡ºê¸®Á¸¿¡¼­ Á¦°øÇÏ´Â ¸ðµç ÄÁÅÙÃ÷ Á¤º¸¿¡ ´ëÇÑ ÀúÀÛ±ÇÀº ¿¡ºê¸®Á¸ÀÇ ¼ÒÀ¯ÀÌ¸ç °ü·Ã¹ýÀÇ º¸È£¸¦ ¹Þ½À´Ï´Ù.
¿¡ºê¸®Á¸ÀÇ »çÀü Çã°¡ ¾øÀÌ ¿¡ºê¸®Á¸ ÄÁÅÙÃ÷¸¦ ¹«´ÜÀ¸·Î ÀüÀç, ¹èÆ÷¸¦ ±ÝÁöµÇ¾î ÀÖ½À´Ï´Ù.
À̸¦ À§¹ÝÇÏ´Â °æ¿ì ¼ÕÇعè»óÀÇ ´ë»ó ¶Ç´Â ¹Î.Çü»ç»óÀÇ ¹ýÀû ¼Ò¼Û ´ë»óÀÌ µÉ ¼ö ÀÖ½À´Ï´Ù.
* ¿¡ºê¸®Á¸ Á¤º¸ ÀÌ¿ë ¹®ÀÇ : greenking@everyzone.com
 ¸ñ·Ï