(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

Backdoor-W32/IRCBot.25020

바이러스 종류

Backdoor

실행환경

Windows

발견일

2006년05월16일

제작지

불분명

위험등급

위험

확산방법

네트워크, 보안취약점

바이러스 크기

25,020 Byte

첨부파일

메일제목

증상요약

타켓이 되는 시스템의 정보수집.

치료방법

터보백신 제품군으로 진단/치료 가능합니다.

상세설명

*감염 경로

네트워크 공유 폴더와, 윈도우 보안패치 헛점등을 이용해서 전파및 설치된다.

*증상

-파일 생성

Backdoor 가 실행 되면 윈도우 시스템 폴더에 aguard.dll 라는 파일을 생성한다.

윈도우 시스템 폴더

95/98/ME

C:\Windows\System

NT/2000

C\WinNT\System32

Windows\System32

-레지스트리 등록

감염된 시스템은 자신을 다음과 같이 레지스트리에 등록해 다음 부팅시 실행되도록 조작 한다.

HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run

WinDLL (aguard.dll) = rundll32.exe 윈도우 시스템\aguard.dll,start

감염된 시스템은 TCP 임의의 포트를 LISTENING 상태로 열어둔다. (상대로부터 접속을 기다리는 상태)

그 후 사용자 몰래 접속 해 스팸 메일 발송, 애드웨어 설치, 데이터 삭제, 그리고 개인의 컴퓨터 사용 내역을 훔쳐보거나 각종 파일(개인 문서, 기밀 문서 등)을 외부로 빼가는 보안상 문제도 발생할 수 있음

백도어로서 동작 하게되면, 다음과 같은 시스템 오동작이 일어날 수 있다.

1. 파일 실행및 삭제
2. 포트감시
3. 키보드 타이핑 내용 저장
4. 파일 다운로드
5. ftp및 IRC 서버로 동작가능
6. 시스템 하드웨어 정보 수집

예방 및 수동조치방법