netstat -an / 100709 - SB Home PC

C:\Documents and Settings\Administrator>netstat -an

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:2869           0.0.0.0:0              LISTENING
  TCP    127.0.0.1:1027         127.0.0.1:1028         ESTABLISHED
  TCP    127.0.0.1:1028         127.0.0.1:1027         ESTABLISHED
  TCP    127.0.0.1:1029         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:1034         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:5354         0.0.0.0:0              LISTENING
  TCP    192.168.10.150:139     0.0.0.0:0              LISTENING
  TCP    192.168.10.150:2070    61.63.80.81:80         SYN_SENT
  UDP    0.0.0.0:445            *:*
  UDP    0.0.0.0:500            *:*
  UDP    0.0.0.0:1026           *:*
  UDP    0.0.0.0:4500           *:*
  UDP    127.0.0.1:123          *:*
  UDP    127.0.0.1:1058         *:*
  UDP    127.0.0.1:1090         *:*
  UDP    127.0.0.1:1129         *:*
  UDP    127.0.0.1:1900         *:*
  UDP    192.168.10.150:123     *:*
  UDP    192.168.10.150:137     *:*
  UDP    192.168.10.150:138     *:*
  UDP    192.168.10.150:1900    *:*
  UDP    192.168.10.150:5353    *:*

C:\Documents and Settings\Administrator>

http://kin.naver.com/qna/detail.nhn?d1id=1&dirId=11001&docId=67485054&qb=bmV0c3RhdCAxMzU=&enc=utf8&section=kin&rank=1&sort=0&spq=0&pid=gviiag331xhssZCuRKZssv--388711&sid=TDZZFfLnNUwAAEkCTbo
135포트가 열려있다면..

우선 Worm.Agobot라는 바이러스에 걸리게 된다면

135포트가 열리게 된다는 것으로 알고 있습니다.

치료를 해도..열려 있죠.. Worm.Agobot바이러스에 대한

설명은 아래와 같습니다.

Win32/AgoBot.worm.64000
다른 이름 Backdoor.Agobot.3.gen, W32/Gaobot.worm.gen
감염시위험도 3등급(위해)
확산위험도 2등급 현재 확산도 3등급
종류 웜 감염 형태 실행파일
감염 OS 윈도우 감염 경로 네트워크/보안취약성
최초 발견일 2003-11-27 국내발견일 2003-11-27
특정 활동일 특정일 활동 없음 제작국 불분명
진단 가능 엔진 2003.11.29.00 치료 가능 엔진 2003.11.29.00
※ 표기된 날짜 이후의 엔진으로 진단 및 치료가 가능합니다.

증상 - TCP/135, 445 포트에 대한 트래픽이 증가한다.
- 특정한 IRC 서버로 접속을 시도한다. (TCP/9900 오픈)
내용 Win32/AgoBot.worm.64000 는 많은 변형을 가지고 있는 AgoBot 웜의 변형중에 하나이다. 유사한 변형으로는 다음고 같은 변형들이 있다.

이 웜은 다양한 취약점을 이용하여 자신을 전파하며 전파시 특정 포트들에 대한 트래픽 증가를 발생하기도 한다. 또한 특정한 IRC 서버의 채널에 접속하고 있다가 접속에 성공되면 Offer 라고 불리우는 사람에게 원격제어를 받을 수 도 있다. 이런 경우 시스템 정보등을 유출 당할 수 있다.

- 전파방법 및 대상

이 웜의 전파방법은 총 3가지 이며 취약점을 이용한 경우는 다음의 2 가지이다.

- MS03-026 RPC DCOM 취약성 (한글)

- MS03-007 WebDAV 취약점 (한글)

그리고 다른 하나는 다음과 같다.

- IPC$ (관리목적공유폴더의 null session 또는 유추하기 쉬운 사용자명과 암호들)

전파시 사용하는 포트 와 대상 IP는 다음과 같다.

- TCP/135
- TCP/445
- TCP/80 (WebDAV)