강좌
클라우드/리눅스에 관한 강좌입니다.
리눅스 분류

mIRC trojan horse 분석 보고서

작성자 정보

  • 웹관리자 작성
  • 작성일

컨텐츠 정보

본문

최저가 서버호스팅 제공 : 85,000원/월

mIRC trojan horse 분석 보고서

1998. 10

이현우/CERTCC-KR, 한국정보보호센터

hwlee@certcc.or.kr

1. 개요

IRC(Internet Relay Chat) 네트워크는 전세계의 사람들이 모여서 서로 대화를 할 수 있는 가상의 공간이다. mIRC는 이러한 IRC 네트워크를 편리하게 사용할 수 있도록 다양한 사용자 편의의 인터페이스를 제공하는 툴로서 가장 많이 사용되고 있다.

하지만 가장 많이 사용되고 있는 만큼 mIRC는 인터넷의 여러 악의적 사용자로부터 공격의 대상이 되고 있으며 많은 취약성들이 계속적으로 발견되고 있다. 본 고에서는 mIRC의 trojan horse 공격과 그 대책에 대하여 알아본다.

2. mIRC trojan horse

mIRC의 trojan horse는 일반적으로 ini, exe, com과 같은 확장자를 갖으며, IRC, WWW, FTP를 통하여 널리 확산되고 있다. 특히 mIRC는 IRC 네트워크를 통하지 않고 IRC 클라이언트 사이에 직접적으로 파일을 전송할 수 있는 DCC기능을 가지고 있으며, auto DCC get 기능을 사용할 경우 어떤 사람이든 trojan horse를 전송할 수 있게 된다. 다음은 많이 발견되는 trojan horse들에 대한 설명이다.

가. script.ini

  • 공격 대상 : mIRC5.3 이하 버전
  • 원인 : auto DCC get 옵션 사용으로 mIRC 디렉토리로 다운로드된 script.ini의 자동 실행
  • 영향 : IRC 세션 감시 또는 차단, 다른 IRC 클라이언트에 script.ini 유포
  • 확인방법 : mIRC 디렉토리에 script.ini 파일 존재여부 확인
  • 대책 : script.ini 제거

나. winhelper.exe

  • 공격 대상 : mIRC
  • 원인 : DCC get 또는 WWW, ftp를 통한 부주의한 프로그램 다운로드
  • 영향 : IRC 세션 탈취
  • 확인방법 : winhelper.exe 존재여부 확인
  • 대책 : winhelper.exe 파일과 c:mIRC.ini 제거, win.ini에서 winhelper.exe를 참조하는 라인 제거

다. dmsetup.exe

  • 공격 대상 : mIRC5.11, mIRC5.31
  • 원인 : auto DCC get 옵션 사용, 부주의한 다운로드 프로그램 실행
  • 영향 : IRC 세션 중단, 다른 IRC 클라이언트에 dmsetup.exe 유포
  • 확인방법 : c:, c:mirc, c:windows, c:program files 디렉토리에 dmsetup.exe 파일 존재여부 확인(mIRC를 c: 에 설치한 경우), c:configg.sys 파일 존재여부 확인
  • 대책 :

    - c: 에 mIRC를 설치한 경우

    ① unload mircrem.ini

② c:autoexec.bat 파일에서 dmsetup 라인 삭제

③ 다음 파일들 삭제

c:dmsetup.exe

c:configg.sys

c:mircdmsetup.exe

c:mircmircrem.ini

c:mircackup0412.ini

c:windowsdmsetup.exe

c:progra~1dmsetup.exe

- c: 이외의 장소에 설치한 경우

① c:autoexec.bat 파일에서 dmsetup 라인 삭제

② 다음 파일들 삭제

c:dmsetup.exe

c:configg.sys

c:mirc

c:windowsdmsetup.exe

c:progra~1dmsetup.exe

3. mIRC trojan horse 대책

  • 최신버전의 mIRC를 사용한다(mIRC 5.4, 1998. 10. 현재)
  • 신뢰할 수 없는 사이트나 사람으로부터 파일을 다운로드 받지 않도록 한다.
  • auto DCC get 옵션을 사용하지 않는다(turn it OFF, [첨부 1]참조).

[참고문헌]

http://www.irchelp.org/irchelp/security/

http://www.irchelp.org/irchelp/security/si.html

http://www.irchelp.org/irchelp/security/winhelper.txt

http://www.irchelp.org/irchelp/security/dmsetup.txt

[첨부 1] mIRC auto-get 설정 화면

 

국내 최저가 네이버클라우드 서버 제공 : 88,000원/월
"무단배포금지: 클라우드포털(www.linux.co.kr)의 모든 강좌는 저작권에 의해 보호되는 콘텐츠입니다. 무단으로 복제하여 배포하는 행위는 금지되어 있습니다."

관련자료

댓글 0
등록된 댓글이 없습니다.
목록

공지사항

뉴스광장

  • 현재 회원수 :  60,041 명
  • 현재 강좌수 :  35,855 개
  • 현재 접속자 :  122 명