IE080898 분석보고서
작성자 정보
- 웹관리자 작성
- 작성일
컨텐츠 정보
- 4,976 조회
- 0 추천
-
목록
본문
IE080898 분석보고서
1998. 9
신 훈/CERTCC-KR, 한국정보보호센터
1. 개요
'98년 8월 7일경 마이크로소프트 인터넷 익스플로러 지원센터를 가장한 메시지[첨부1]가 여러뉴스 서버에 보내어졌다. 실제 이 메시지에는 IE080898.EXE라는 실행화일을 첨부하여 보안패치(Security Update)인것처럼 내용을 꾸며놓았으나 실상은 백도어 프로그램으로 임의의 목적지로 메일폭탄을 보내는 기능을 한다. 이 IE080898.EXE란 백도어 프로그램은 "SNAKE"라는 별명을 가지고 있으며 "BAD SECTOR" 라는 익명의 해커에 의해 만들어진 것으로 알려지고 있다. 이 프로그램 자체는 그리 해로운 결과를 미치지 않지만 일련의 수동적 공격과정이 악용된다면 사용자들은 심각한 결과를 초래할 가능성은 충분하다고 할 수 있다.
2. 취약점분석
이 프로그램은 25kb 크기를 가진 윈도우즈용 실행화일이며 이 프로그램 실행시 SHELL32.EXE라는 프로그램을 설치한다. 이 프로그램이 설치된 후 시스템 리부팅 후 SHELL32.EXE는 자동수행되며 숨겨진 프로세스(task)로 윈도우즈 메모리에 상주하여 휴지(Sleep)하다가 정기적으로 임의의 수신자(대부분 불가리아 ISP관련자)에게 메일을 보낸다. 메일의 보내는 주소와 제목, 데이터 모두 임의의 리스트에서 랜덤(random)하게 선택되어져 보내어진다.
gerry@tetra.bg
administrator@tetra.bg
tetranet@tetra.bg
root@vt.bitex.com
peterc@vt.bitex.com
ivanp@vt.bitex.com
root@tarnovo.eunet.bg
master@tarnovo.eunet.bg
webmaster@tarnovo.eunet.bg
root@server.vt.bia-bg.com
webmaster@mail.vt.bia-bg.com
webmaster@tetra.bg
3. 탐지
이 백도어 프로그램설치시 시스템 레지스트리에 KEY_LOCAL_MACHINE 부분에서 SOFTWAREMicrosoftWindowsCurrentVersionRun shell32.exe와 같이 등록되므로 regedit.exe을 이용하여 이 백도어의 설치여부의 확인이 가능하다.
4. 해결책
regedit.exe을 이용하여 상기 레지스트리를 수정한다.
여러 회사에서 제공하는 백신 소프트웨어를 사용하여 제거한다.
Dr.Solomon's Network Associates
[참고문헌]
1. http://www.datafellows.com/v-descs/badsec.htm
2. http://dgl.com/dglinfo/1998/dg980812.html
3. http://www.zdnet.co.uk/news/1998/31/ns-5232.html
4. http://ultima.scorched.com/library/trojan.html
5. http://www.pcworld.com/pcwtoday/article/0,1510,7768,00.html
첨부 1. 마이크로소프트 인터넷 익스플로러 지원센터를 가장한 메시지
|
Return-Path: <IEsupport@microsoft.com> Received: from emh.kadena.af.mil (emh.kadena.af.mil [132.15.128.128]) by users.qual.net (8.9.0/8.9.0/QualNet) with ESMTP id XAA12652 for < >; Fri, 7 Aug 1998 23:06:24 -0400 (EDT) Received: from zmei.bg (tarnovo17.pip.digsys.bg [193.68.14.17]) by emh.kadena.af.mil with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.1960.3) id PY001CB7; Sat, 8 Aug 1998 11:57:29 +0900 Message-Id: <3.0.5.32.19980808013413.007a4eb0@microsoft.com> X-Sender: IEsupport@microsoft.com (Unverified) X-Mailer: QUALCOMM Windows Eudora Light Version 3.0.5 (32) Date: Sat, 08 Aug 1998 01:34:13 +0300 To: (Recipient list suppressed) From: Microsoft Internet Explorer Support Center <IEsupport@microsoft.com> Subject: FREE! Your upgrade for Microsoft Internet Explorer Mime-Version: 1.0 Content-Type: multipart/mixed; boundary="=====================_902518453==_" Status: As user of Microsoft Internet Explorer Microsoft Corporation provide you an upgrade for your Microsoft Internet Explorer. Please run Ie080898.exe to install the upgrade. This file will fix some serious bugs in your Internet Explorer. For more information please visit Microsoft Internet Explorer Home Page at: http://www.microsoft.com/ie/ |
관련자료
-
이전
-
다음
