바이러스 DB

매일 다수의 업데이트를 실시하고 있으며 긴급 악성코드 발생 시 신속하게 추가 업데이트를 실시하고 있습니다.

이름
Backdoor-W32/SdBot.134144
바이러스 종류
Backdoor
실행환경
Windows
위험등급
위험
확산방법
네트워크, 보안취약점
증상요약
타켓이 되는 시스템의 정보수집
치료방법
터보백신 제품군으로 진단/치료 가능합니다.

상세설명  진단/치료방법
※ 상세 설명

 

*감염 경로

네트워크 공유 폴더와, 윈도우 보안패치 헛점등을 이용해서 전파및 설치된다.



*증상

 

-파일 생성

Backdoor 실행 되면, 일반적으로 윈도우 폴더에 drvsig.exe파일이 설치 된다
   윈도우 시스템 폴더에는 rdriv.sys 라는 파일을 생성한다.

 

윈도우 시스템 폴더

 

윈도우 폴더

 

95/98/ME

 

C:\Windows\System

 

C:\Windows

 

NT/2000

 

C\WinNT\System32

 

C:\WinNT

 

XP

 

Windows\System32

 

C:\Windows

 

 

-레지스트리 등록.


감염된 시스템은 자신을 다음과 같이 레지스트리에 등록해 다음 부팅시 실행되도록 조작 한다.


HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Driver Signature Services


ImagePath = 윈도우 폴더\drvsig.exe

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv


ImagePath = 윈도우 시스템 폴더\rdriv.sys




백도어로서 동작 하게되면, 다음과 같은 시스템 오동작이 일어날 있다.

1.
파일 실행및 삭제
2.
포트감시
3.
키보드 타이핑 내용 저장
4.
파일 다운로드
5. ftp
IRC 서버로 동작가능
6.
시스템 하드웨어 정보 수집

그리고 백도어는 LSASS 보안헛점   윈도우 보안 취약점을
이용하므로, 다음 보안패치를 권고한다.

MS03-039 RPC DCOM2 취약점                                                                                                   -http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp


MS04-011 Microsoft Windows
용 보안 업데이트 중 LSASS 취약점
- http://www.microsoft.com/korea/technet/security/bulletin/ms04-011.asp

MS05-039
플러그 앤 플레이의 취약점으로 인한 원격 코드 실행 및 권한 상승 문제점
- http://www.microsoft.com/korea/technet/security/bulletin/MS05-039.mspx

※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
상호 :(주)에브리존 터보백신 | 대표:홍승균|사업자등록번호:220-81-67981
Copyright ⓒEveryzone , Inc. All Rights Reserved.|