마이크로소프트 윈도우의 RPC 취약점(RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제)을 이용해 공격하는 신종 웜 Worm.Win32.Blaster.6176 이 국내에서 급속하게 확산됨에 따라 사용자들의 강력한 주의가 요청된다.

Worm.Win32.Blaster.6176 웜은 8월 11일 해외에서 처음 발견되었으며, 국내에는 12일에 유입되었다.

Win32/Blaster.worm.6176은 2003년 8월 12일 새벽(한국 시간 기준)에 발견되었으며 8월 12일 아침부터 많은 샘플을 접수받았다. 윈도우 NT 계열 ( NT/2000/XP/2003 )의 RPC DCOM 취약성을 이용해 전파되는 웜으로 윈도우 9X 계열(윈도우 95/98/Me)는 영향을 받지 않는다.

RPC DCOM 취약성을 가진 윈도우 시스템에서 감염되며 감염된 시스템은 135번 포트(epmap)의 트래픽이 현저하게 증가하며 시스템에 따라 재부팅이나 에러 메시지가 뜨는 경우가 있다.


:: 증상 ::

- 135번 포트로 다량의 트래픽이 발생한다.
- 경우에 따라 에러창이 뜨거나 시스템이 재부팅되기도 한다.
- 감염된 시스템의 날짜에 따라 특정 사이트를 공격한다.


:: 바이러스 퇴치방법 ::

- 시스템이 몇분마다 재부팅되는 현상이 발생하는 시스템에서는 다음과 같이 수동조치한다.

1. 네트워크 선을 뽑고 윈도우 부팅시 [F8] 을 눌러 "안전모드"로 부팅한다.

2. "윈도우 작업 관리자" ( Ctrl+Alt+Del 를 동시에 누른 후 작업 관리자(T) 선택)를 선택 후 프로세스에서 MSBlast.exe 파일을 찾아 종료 시킨다.  

3. 탐색기에서 TFTP.EXE 파일의 찾아 이름을 다른 이름 ( 예. TFTP.EX_ )으로 변경한다. 이는 웜이 TFTP.EXE 를 통해 전파되므로 TFTP.EXE 의 실행을 막으면 웜이 해당 시스템으로 전파되는 과정을 막을 수 있다. 하지만, RPC DCOM 취약성 공격자체를 막을 수는 없다.

4. 탐색기에서 MSBLAST.EXE 파일을 찾아 삭제한다. 보기(V) -> 탐색 창(E) -> 검색(S)의 파일 및 폴더 찾기에서 MSBLAST.EXE 선택한다.

5. 찾은 MSBLAST.EXE 파일 삭제을 삭제한다.

6. 감염되지 않은 시스템에서 사용하는 OS 버전에 맞는 다음 패치를 다운 받아 플로피 디스크 등에 담아 복사한다.

- Windows 2000 (한글버전)

   [MS사에서 받기]    [AhnLab에서 받기]

- Windows 2000 (영문버전)

   [MS사에서 받기]   [AhnLab에서 받기]

- Windows XP (한글버전)

   [MS사에서 받기]   [AhnLab에서 받기]

- Windows XP (영문버전)

   [MS사에서 받기]   [AhnLab에서 받기]

- Windows NT 4.0 (한글버전)

   [MS사에서 받기]   [AhnLab에서 받기]

- Windows NT 4.0 (영문버전)

   [MS사에서 받기]   [AhnLab에서 받기]

- Windows NT Server 4.0, Terminal Server Edition (영문버전)

   [MS사에서 받기]   [AhnLab에서 받기]

- Windows Server 2003 (한글버전)

   [MS사에서 받기]   [AhnLab에서 받기]

- Windows Server 2003 (영문버전)

   [MS사에서 받기]   [AhnLab에서 받기]

7. 감염된 시스템을 재부팅한 후 플로피 디스크에 담은 패치를 하드디스크로 복사한다.

8. 복사한 패치파일을 실행하여 패치를 적용한 후 네트워크 선을 꽂고 재부팅 한다.

9. 3번에서 변경한 파일의 이름을 다시 TFTP.EXE 로 수정한다.