바이러스 공격 (펌)
- 글쓴이
- 이민주
- 등록일
- 2004-07-14 12:51
- 조회
- 2,799회
- 추천
- 0건
- 댓글
- 0건
관련링크
peepviewer는 대만 사람에 의해 제작되어 웹상에 공개되면서 해커들이 사용하기 시작한 원격제어 프로그램으로서 PeepViewer 자체 파일로만은 메일이나, 네트워크등과 같이 스스로 확산되지는 않는다고 합니다.
이 백도어의 감염된 시스템은 공통적으로 E메일 첨부 파일로 '워크샵내용과 일정.MDB'(237,568 바이트)이라는 파일을 받아서 실행 후 감염된 것으로 알려져 있는데, 이 메일은 PeepViewer 백도어가 발송한 메일이 아니라, 누군가 고의적으로 보낸것으로 추정된다고 합니다..
중국어로 제작되어 있으며, 아래와 같이 여러가지 버전이 제작되어 있습니다.
- Peep 1.0
- Peep 1.1a
- Peep 2.01
- Peep 2.02
초기 버전은 키로깅이나 계정 비밀번호 등의 정보를 빼내는 스파이 프로그램이며, 두번째 버전은 원격지의 컴퓨터를 제어할 수 있으며, 파일을 다운로드하여 실행하고 레지스트리에 등록하는 기능이 포함되어있다.
1. peepviewer :
Win-Trojan/PeepViewer.81920는 대만에서 제작된 트로이목마(백도어)이다. 트로이목마가 실행되면 자신을 EXPLORER.EXE로 윈도우 폴더나 윈도우 시스템 폴더에 복사한 후 레지스트리에 자신을 등록 해 윈도우 시작시 자동으로 실행하게 한다. 임의의 포트로 특정한 웹 사이트로 접속을 시도하기도 한다. 백도어로 시스템 재부팅, 마우스 및 키보드의 제어, 일반적인 시스템 정보획득 등의 기능이 있다. 특정한 메일 계정으로 메일을 보내는 것으로도 추정 된다
트로이목마와 설치자(Dropper, 164,372 바이트, 발견당시 파일명은 Service.exe)는 다음과 같이 구성되어 있다.
- Dropper 메인 : Dropper/PeepViewer.164372
- 트로이목마 1 : Win-Trojan/PeepViewer.81920
- 트로이목마 2 : Win-Trojan/PeepViewer.45056
트로이목마가 실행되면 윈도우 버전에 따라 파일 생성 위치가 다르다.
윈도우 95/98/ME의 경우 윈도우 폴더(윈도우 폴더는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:\\Windows, 윈도우 NT/2000은 C:\\WinNT 폴더이다. )에 생성된다.
윈도우 NT/2000/XP의 경우 윈도우 시스템 폴더(윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\\Windows\\System, 윈도우 NT/2000은 C:\\WinNT\\System32, 윈도우 XP는 C:\\Windows\\System32 폴더이다.)에 생성된다.
.
2. Revacc
: 대만에서 제작되어 웹상에 공개되면서 해커들이 사용하기 시작한 원격제어 프로그램인 PeepViewer의 변형이다.
감염된 시스템의 포트를 오픈하고 특정 서버에 접속한 후, 감염된 시스템의 정보를 pop3(Post Office Protocol 3) 메세지로 보낼 수 있는 백도어이다.
Cmd.exe나 command.exe를 사용해서 원격으로 시스템의 조정이 가능하기도 하다.
이 두 파일은 도스 시절부터 사용되던 명령어 체게인데..개인이 가져다 쓰는것도 그렇게 어려운것이 아니라서...
.
* pop3(Post Office Protocol 3)란?
전자우편을 수신하기 위한 TCP/IP 표준 프로토콜 중 하나이다.
인터넷 서버가 사용자를 위해 전자우편을 수신하고 그 내용을 보관하기 위해 사용되는 클라이언트/서버 프로토콜이기도 하다.
POP3의 사용자(또는 전자우편 수신용 클라이언트 프로그램)는 주기적으로 서버에 있는 자신의 메일 수신함을 점검하고, 만약 수신된 메일이 있으면 클라이언트 쪽으로 다운로드하게 된다.
POP3는 전자우편 제품 중의 하나인 유도라에 적용되었으며, 넷스케이프와 마이크로소프트 익스플로러 브라우저에도 역시 적용되었다.