[긴급]RPC DCOM취약점을 이용한 blastra웜 확산

페이지 정보

(

) 작성일2003-08-12 15:26 조회3,760회 댓글0건

본문

윈도우 NT계열(NT/2000/XP) DCOM RPC 취약성을 이용해 전파되는 웜 W32.Blaster.wor m이 인터넷을 통해 확산되고 있습니다. 이에 아래의 정보를 통해 치료 및 긴급 패치할 것을 권고합니다. 윈도우 NT 계열 시스 템 사용자는 아래와 같은 방법으로 Mircorsoft RPC 버퍼 오퍼플로우 취약점에 대한 패치를 적용해야 합니다. 단, Windows 95, 98, 98 SE, Me 는 이 웜의 영향을 받지 않습니다.

본 웜 바이러스는 각 백신 업체에 따라 다음과 같은 이름으로 부릅니다.
Win32/Blaster.worm.6176 (안철수 연구소)
Worm.Win32.Blaster.6176 (하우리)
W32.Blaster.Worm (Symantec)
WORM_MSBLAST.A (Trend Micro)
W32/Lovsan.worm (McAfee)

[감염될 수 있는 제품]
Windows NT 4.0 Server / Workstation / Terminal Server Edition / Enterprise Edition
Windows 2000 Professional / Server / Advanced Server / Datacenter Server
Windows XP Home Edition / Professional Edition
Windows Server 2003 Web Edition / Standard Edition / Enterprise Edition / Datacenter Edition

- 135번 포트 트래픽 발생한다.
- 컴퓨터가 저절로 재부팅되는 일이 계속해서 반복됩니다.
- 작업 관리자에 MSBLAST.EXE가 실행되고 있습니다.
- Winnt\System32 또는 Windows\System32에 6,176 바이트 크기의 msblast.exe가 있습니 다.
- 레지스트리 키 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi on\Run에 "windows auto update" 값이 만들어져서 내용이 MSBLAST.EXE로 되어 있습니다.
- TCP 포트 4444로 cmd.exe가 listen 상태로 있습니다.

[내용]
Win32/Blaster.worm.6176 은 Windows NT 계열 ( NT/2000/XP/2003 )의 DCOM RPC 취약성 을 이용해 전파되는 웜이다. 취약성을 가진 윈도우 시스템에서 감염되며 감염된 시스템은 135번 포트(epm ap)의 트래픽이 현저하게 증가한다.

- 실행 후 증상
현재 보고된 파일이름은 MSBLAST.EXE ( 6,176 바이트 )로 이 웜에 감염되면 IP를 스캐닝해 D COM RPC 취약성이 있는 시스템을 찾아 공격시도 후 웜 파일을 복사 후 다음 레지스트리 내용을 추가해 웜이 자동실행되 게한다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run p>

에 Windows auto update 에 msblast.exe 등록 시스템에 따라 재부팅되는 경우도 보고되고 있다.

[치료 방법]
이미 감염되었을 경우 패치 설치만으로 시스템이 정상화되지 않습니다. 다음과 같은 응급 조치 를 취하십시오.

1. 이미 실행 중인 msblast.exe 종료하기
- Ctrl + Shift + Esc를 눌러서 [작업 관리자]를 엽니다.
- [프로세스] 탭에서 msblast.exe를 찾습니다. "이미지 이름" 줄을 눌러서 알파벳 순으로 정렬하면 쉽게 찾을 수 있습니다.
- msblast.exe를 선택하고 [프로세스 끝내기] 버튼을 누릅니다.

2. MS03-026 패치 다운로드
- 위 "예방 방법"에서 설명한 MS03-026 패치를 다운로드합니다.
- 곧바로 설치하지 않고, 안전한 위치에 저장합니다.

3. 네트워크 연결 끊기
- 재감염을 막기 위해 네트워크 케이블을 뽑습니다.
- 또한, Windows XP의 경우 [내 컴퓨터]의 [속성] 중 [시스템 복원] 탭에서 "모든 드라이 브에 시스템 복원 사용 안 함"을 체크하십시오. 나중에 치료가 끝난 후에 필요에 따라 다시 체크를 제거할 수 있습니 다.

4. 웜 파일 제거하기
- 탐색기에서 Windows\System32 또는 Winnt\System32를 엽니다.
- msblast.exe를 찾아서 삭제합니다.
- 휴지통으로 버렸을 경우 휴지통을 비웁니다.

5. 웜이 자동 실행되도록 하는 레지스트리 값 제거하기
- [시작] - [실행]에서 regedit를 실행합니다.
- [레지스트리 편집기]의 왼쪽 트리에서 다음 키를 선택합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 오른쪽 창에서 "windows auto update"라는 값을 선택합니다.
- Del 키를 눌러서 삭제합니다.
- [레지스트리 편집기]를 종료하고 컴퓨터를 재부팅합니다.

6. 패치 적용하기
- 위 단계와 같이 치료했다고 하더라도 패치가 설치되지 않은 컴퓨터는 쉽게 재감염될 수 있습 니다. 따라서 앞서 다운로드하여 보관중인 MS03-026 패치를 반드시 설치하십시오.
- 패치가 설치된 후 재부팅 할 것인지 물을 때 반드시 재부팅합니다.

7. 네크워크 케이블 연결 후 정상적으로 사용

[주의사항]
한 번 이 웜에 감염된 컴퓨터는 감염되어 있던 동안 공격자가 침입할 수 있는 경로를 열기 때문 에 그 시간 동안 공격자가 시스템 설정을 바꾸거나 자료를 열람했을 수도 있습니다. 이 경우 포맷 후 시스템을 재설치하기 전까지는 안전하다고 볼 수 없습니다.

[패치적용 방법]
1. 윈도우 [실행]-[Windows Update]메뉴를 선택합니다.
2. `업데이트 검색`을 선택합니다.
3. 설치할 중요 업데이트 항목에서 `823980` 를 선택하여 설치합니다. 이때 `823980` 뿐 아니라, 다른 보안 업데이트 항목도 함께 설치하기를 권장합니다.

[패치 다운로드]

Windows XP (한글버전)	MS사에서 받기	윈비비에스에서 받기
Windows XP (영문버전)	MS사에서 받기	윈비비에스에서 받기
Windows 2000 (한글버전)	MS사에서 받기	윈비비에스에서 받기
Windows 2000 (영문버전)	MS사에서 받기	윈비비에스에서 받기
Windows Server 2003 (한글버전)	MS사에서 받기	윈비비에스에서 받기
Windows Server 2003 (영문버전)	MS사에서 받기	윈비비에스에서 받기
Windows NT Workstation 4.0 (한글버전)	MS사에서 받기	윈비비에스에서 받기
Windows NT Workstation 4.0 (영문버전)	MS사에서 받기	윈비비에스에서 받기
Windows NT Server 4.0 Terminal Server Edition (영문버전)	MS사에서 받기	윈비비에스에서 받기

bossng: 출처 ---winbbs--- 아비러스가 아닌줄 알았더니 맞군요. 참고하세요. --[08/12-15:28]-- 봉용: 정말 정말 좋은 정보...신속한 움직임에 감사드립니다. 열강회원들에게 특히 많은 도움이 되겠지요? ^^ --[08/12-20:55]-- 캬캬캬캬: 헐 이것도 늦은겁니다.....
아침 9시부터 지금까지 고생했다는...
학원갔다가 친구에게 말하니까 패치받아라고 하더군요....흑흑
이것때문에 오늘 컴터 하지도 못했다는 --[08/12-21:12]-- 캬캬캬캬: bossng 님 태클아니고요 제가 좀 열받아서 켁
태클 같다면 죄성 --[08/12-21:13]-- 진풍백칭구: 저는 xp인데 아직 안걸렸는데. 운이 좋네요. ㅋㅋ --[08/13-15:22]-- 진풍백칭구: 저는 xp인데 아직 안걸렸는데. 운이 좋네요. ㅋㅋ --[08/13-15:22]-- 하늘님: 아따...이건 압박이다...ㅋㅋㅋ --[08/18-10:20]--

댓글목록

등록된 댓글이 없습니다.