신종 바이러스 Win32/Blaster 확산
- 다니엘
- 1589
- 0
마이크로소프트 윈도우의 RPC 취약점(RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제)을 이용해 공격하는 신종 웜 Worm.Win32.Blaster.6176 이 국내에서 급속하게 확산됨에 따라 사용자들의 강력한 주의가 요청된다.
Worm.Win32.Blaster.6176 웜은 8월 11일 해외에서 처음 발견되었으며, 국내에는 12일에 유입되었다.
Win32/Blaster.worm.6176은 2003년 8월 12일 새벽(한국 시간 기준)에 발견되었으며 8월 12일 아침부터 많은 샘플을 접수받았다. 윈도우 NT 계열 ( NT/2000/XP/2003 )의 RPC DCOM 취약성을 이용해 전파되는 웜으로 윈도우 9X 계열(윈도우 95/98/Me)는 영향을 받지 않는다.
RPC DCOM 취약성을 가진 윈도우 시스템에서 감염되며 감염된 시스템은 135번 포트(epmap)의 트래픽이 현저하게 증가하며 시스템에 따라 재부팅이나 에러 메시지가 뜨는 경우가 있다.
:: 증상 ::
- 135번 포트로 다량의 트래픽이 발생한다.
- 경우에 따라 에러창이 뜨거나 시스템이 재부팅되기도 한다.
- 감염된 시스템의 날짜에 따라 특정 사이트를 공격한다.
:: 바이러스 퇴치방법 ::
- 시스템이 몇분마다 재부팅되는 현상이 발생하는 시스템에서는 다음과 같이 수동조치한다.
1. 네트워크 선을 뽑고 윈도우 부팅시 [F8] 을 눌러 "안전모드"로 부팅한다.
2. "윈도우 작업 관리자" ( Ctrl+Alt+Del 를 동시에 누른 후 작업 관리자(T) 선택)를 선택 후 프로세스에서 MSBlast.exe 파일을 찾아 종료 시킨다.
3. 탐색기에서 TFTP.EXE 파일의 찾아 이름을 다른 이름 ( 예. TFTP.EX_ )으로 변경한다. 이는 웜이 TFTP.EXE 를 통해 전파되므로 TFTP.EXE 의 실행을 막으면 웜이 해당 시스템으로 전파되는 과정을 막을 수 있다. 하지만, RPC DCOM 취약성 공격자체를 막을 수는 없다.
4. 탐색기에서 MSBLAST.EXE 파일을 찾아 삭제한다. 보기(V) -> 탐색 창(E) -> 검색(S)의 파일 및 폴더 찾기에서 MSBLAST.EXE 선택한다.
5. 찾은 MSBLAST.EXE 파일 삭제을 삭제한다.
6. 감염되지 않은 시스템에서 사용하는 OS 버전에 맞는 다음 패치를 다운 받아 플로피 디스크 등에 담아 복사한다.
- Windows 2000 (한글버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows 2000 (영문버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows XP (한글버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows XP (영문버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows NT 4.0 (한글버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows NT 4.0 (영문버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows NT Server 4.0, Terminal Server Edition (영문버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows Server 2003 (한글버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows Server 2003 (영문버전)
[MS사에서 받기] [AhnLab에서 받기]
7. 감염된 시스템을 재부팅한 후 플로피 디스크에 담은 패치를 하드디스크로 복사한다.
8. 복사한 패치파일을 실행하여 패치를 적용한 후 네트워크 선을 꽂고 재부팅 한다.
9. 3번에서 변경한 파일의 이름을 다시 TFTP.EXE 로 수정한다.
Worm.Win32.Blaster.6176 웜은 8월 11일 해외에서 처음 발견되었으며, 국내에는 12일에 유입되었다.
Win32/Blaster.worm.6176은 2003년 8월 12일 새벽(한국 시간 기준)에 발견되었으며 8월 12일 아침부터 많은 샘플을 접수받았다. 윈도우 NT 계열 ( NT/2000/XP/2003 )의 RPC DCOM 취약성을 이용해 전파되는 웜으로 윈도우 9X 계열(윈도우 95/98/Me)는 영향을 받지 않는다.
RPC DCOM 취약성을 가진 윈도우 시스템에서 감염되며 감염된 시스템은 135번 포트(epmap)의 트래픽이 현저하게 증가하며 시스템에 따라 재부팅이나 에러 메시지가 뜨는 경우가 있다.
:: 증상 ::
- 135번 포트로 다량의 트래픽이 발생한다.
- 경우에 따라 에러창이 뜨거나 시스템이 재부팅되기도 한다.
- 감염된 시스템의 날짜에 따라 특정 사이트를 공격한다.
:: 바이러스 퇴치방법 ::
- 시스템이 몇분마다 재부팅되는 현상이 발생하는 시스템에서는 다음과 같이 수동조치한다.
1. 네트워크 선을 뽑고 윈도우 부팅시 [F8] 을 눌러 "안전모드"로 부팅한다.
2. "윈도우 작업 관리자" ( Ctrl+Alt+Del 를 동시에 누른 후 작업 관리자(T) 선택)를 선택 후 프로세스에서 MSBlast.exe 파일을 찾아 종료 시킨다.
3. 탐색기에서 TFTP.EXE 파일의 찾아 이름을 다른 이름 ( 예. TFTP.EX_ )으로 변경한다. 이는 웜이 TFTP.EXE 를 통해 전파되므로 TFTP.EXE 의 실행을 막으면 웜이 해당 시스템으로 전파되는 과정을 막을 수 있다. 하지만, RPC DCOM 취약성 공격자체를 막을 수는 없다.
4. 탐색기에서 MSBLAST.EXE 파일을 찾아 삭제한다. 보기(V) -> 탐색 창(E) -> 검색(S)의 파일 및 폴더 찾기에서 MSBLAST.EXE 선택한다.
5. 찾은 MSBLAST.EXE 파일 삭제을 삭제한다.
6. 감염되지 않은 시스템에서 사용하는 OS 버전에 맞는 다음 패치를 다운 받아 플로피 디스크 등에 담아 복사한다.
- Windows 2000 (한글버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows 2000 (영문버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows XP (한글버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows XP (영문버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows NT 4.0 (한글버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows NT 4.0 (영문버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows NT Server 4.0, Terminal Server Edition (영문버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows Server 2003 (한글버전)
[MS사에서 받기] [AhnLab에서 받기]
- Windows Server 2003 (영문버전)
[MS사에서 받기] [AhnLab에서 받기]
7. 감염된 시스템을 재부팅한 후 플로피 디스크에 담은 패치를 하드디스크로 복사한다.
8. 복사한 패치파일을 실행하여 패치를 적용한 후 네트워크 선을 꽂고 재부팅 한다.
9. 3번에서 변경한 파일의 이름을 다시 TFTP.EXE 로 수정한다.
추천인 228
다니엘
서프라이즈~~~~^^