[긴급]RPC DCOM취약점을 이용한 blastra웜 확산
페이지 정보
bossng 메일보내기 이름으로 검색 () 작성일2003-08-12 15:26 조회3,881회 댓글0건본문
윈도우 NT계열(NT/2000/XP) DCOM RPC 취약성을 이용해 전파되는 웜 W32.Blaster.wor m이 인터넷을 통해 확산되고 있습니다. 이에 아래의 정보를 통해 치료 및 긴급 패치할 것을 권고합니다. 윈도우 NT 계열 시스 템 사용자는 아래와 같은 방법으로 Mircorsoft RPC 버퍼 오퍼플로우 취약점에 대한 패치를 적용해야 합니다. 단, Windows 95, 98, 98 SE, Me 는 이 웜의 영향을 받지 않습니다.
본 웜 바이러스는 각 백신 업체에 따라 다음과 같은 이름으로 부릅니다.
Win32/Blaster.worm.6176 (안철수 연구소)
Worm.Win32.Blaster.6176 (하우리)
W32.Blaster.Worm (Symantec)
WORM_MSBLAST.A (Trend Micro)
W32/Lovsan.worm (McAfee)
[감염될 수 있는 제품]
Windows NT 4.0 Server / Workstation / Terminal Server Edition / Enterprise Edition
Windows 2000 Professional / Server / Advanced Server / Datacenter Server
Windows XP Home Edition / Professional Edition
Windows Server 2003 Web Edition / Standard Edition / Enterprise Edition / Datacenter
Edition
- 컴퓨터가 저절로 재부팅되는 일이 계속해서 반복됩니다.
- 작업 관리자에 MSBLAST.EXE가 실행되고 있습니다.
- Winnt\System32 또는 Windows\System32에 6,176 바이트 크기의 msblast.exe가 있습니 다.
- 레지스트리 키 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi on\Run에 "windows auto update" 값이 만들어져서 내용이 MSBLAST.EXE로 되어 있습니다.
- TCP 포트 4444로 cmd.exe가 listen 상태로 있습니다.
[내용]
Win32/Blaster.worm.6176 은 Windows NT 계열 ( NT/2000/XP/2003 )의 DCOM RPC 취약성
을 이용해
전파되는 웜이다. 취약성을 가진 윈도우 시스템에서 감염되며 감염된 시스템은 135번 포트(epm
ap)의 트래픽이 현저하게 증가한다.
- 실행 후 증상
현재 보고된 파일이름은 MSBLAST.EXE ( 6,176 바이트 )로 이 웜에 감염되면 IP를 스캐닝해 D
COM RPC 취약성이 있는
시스템을 찾아 공격시도 후 웜 파일을 복사 후 다음 레지스트리 내용을 추가해 웜이 자동실행되
게한다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run p>
에 Windows auto update 에 msblast.exe 등록 시스템에 따라 재부팅되는 경우도 보고되고 있다.
[치료 방법]
이미 감염되었을 경우 패치 설치만으로 시스템이 정상화되지 않습니다. 다음과 같은 응급 조치
를 취하십시오.
1. 이미 실행 중인 msblast.exe 종료하기
- Ctrl + Shift + Esc를 눌러서 [작업 관리자]를 엽니다.
- [프로세스] 탭에서 msblast.exe를 찾습니다. "이미지 이름" 줄을 눌러서 알파벳
순으로 정렬하면 쉽게 찾을
수 있습니다.
- msblast.exe를 선택하고 [프로세스 끝내기] 버튼을 누릅니다.
2. MS03-026 패치 다운로드
- 위 "예방 방법"에서 설명한 MS03-026 패치를 다운로드합니다.
- 곧바로 설치하지 않고, 안전한 위치에 저장합니다.
3. 네트워크 연결 끊기
- 재감염을 막기 위해 네트워크 케이블을 뽑습니다.
- 또한, Windows XP의 경우 [내 컴퓨터]의 [속성] 중 [시스템 복원] 탭에서 "모든 드라이
브에 시스템 복원 사용 안
함"을 체크하십시오. 나중에 치료가 끝난 후에 필요에 따라 다시 체크를 제거할 수 있습니
다.
4. 웜 파일 제거하기
- 탐색기에서 Windows\System32 또는 Winnt\System32를 엽니다.
- msblast.exe를 찾아서 삭제합니다.
- 휴지통으로 버렸을 경우 휴지통을 비웁니다.
5. 웜이 자동 실행되도록 하는 레지스트리 값 제거하기
- [시작] - [실행]에서 regedit를 실행합니다.
- [레지스트리 편집기]의 왼쪽 트리에서 다음 키를 선택합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 오른쪽 창에서 "windows auto update"라는 값을 선택합니다.
- Del 키를 눌러서 삭제합니다.
- [레지스트리 편집기]를 종료하고 컴퓨터를 재부팅합니다.
6. 패치 적용하기
- 위 단계와 같이 치료했다고 하더라도 패치가 설치되지 않은 컴퓨터는 쉽게 재감염될 수 있습
니다. 따라서 앞서 다운로드하여 보관중인 MS03-026
패치를 반드시 설치하십시오.
- 패치가 설치된 후 재부팅 할 것인지 물을 때 반드시 재부팅합니다.
7. 네크워크 케이블 연결 후 정상적으로 사용
[주의사항]
한 번 이 웜에 감염된 컴퓨터는 감염되어 있던 동안 공격자가 침입할 수 있는 경로를 열기 때문
에 그 시간 동안 공격자가 시스템 설정을 바꾸거나
자료를 열람했을 수도 있습니다. 이 경우 포맷 후 시스템을 재설치하기 전까지는 안전하다고 볼
수 없습니다.
[패치적용 방법]
1. 윈도우 [실행]-[Windows Update]메뉴를 선택합니다.
2. `업데이트 검색`을 선택합니다.
3. 설치할 중요 업데이트 항목에서 `823980` 를 선택하여 설치합니다. 이때 `823980` 뿐 아니라,
다른 보안 업데이트 항목도
함께 설치하기를 권장합니다.
[관련기사]
* 기사 : [치명적]DCOM
RPC Overflow Discovered by LSD (2003/08/02)
* 기사 : 정보통
신부
공식 보도자료 (2003/08/12)
[관련 사이트]
마이크로소프트 보안 패치 MS03-026: http://www.microsoft.co
m/korea/technet/security/bulletin/MS03-026.asp
안철수 연구소: http://home.ahnlab.com/smart2u/virus_detail_1202.html
하우리: http://www.hauri.co.kr/virus/vir_read.html?code=WOW3000424
Symantec: http://securityresponse.symantec.com/a
vcenter/venc/data/w32.blaster.worm.html
Trend Micro: http://www.trendmicro.com/vinf
o/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
McAfee: http://us.mcafee.com/virusInfo/default.asp?id=descri
ption&virus_k=100547
[패치 다운로드]
Windows XP (한글버전) | MS사에서 받기 | 윈비비에스에서 받기 |
Windows XP (영문버전) | MS사에서 받기 | 윈비비에스에서 받기 |
Windows 2000 (한글버전) | MS사에서 받기 | 윈비비에스에서 받기 |
Windows 2000 (영문버전) | MS사에서 받기 | 윈비비에스에서 받기 |
Windows Server 2003 (한글버전) | MS사에서 받기 | 윈비비에스에서 받기 |
Windows Server 2003 (영문버전) | MS사에서 받기 | 윈비비에스에서 받기 |
Windows NT Workstation 4.0 (한글버전) | MS사에서 받기 | 윈비비에스에서 받기 |
Windows NT Workstation 4.0 (영문버전) | MS사에서 받기 | 윈비비에스에서 받기 |
Windows NT Server 4.0 Terminal Server Edition (영문버전) |
MS사에서 받기 | 윈비비에스에서 받기 |
bossng: 출처 ---winbbs--- 아비러스가 아닌줄 알았더니 맞군요. 참고하세요. --[08/12-15:28]--
봉용: 정말 정말 좋은 정보...신속한 움직임에 감사드립니다. 열강회원들에게 특히 많은 도움이 되겠지요? ^^ --[08/12-20:55]--
캬캬캬캬: 헐 이것도 늦은겁니다..... 아침 9시부터 지금까지 고생했다는... 학원갔다가 친구에게 말하니까 패치받아라고 하더군요....흑흑 이것때문에 오늘 컴터 하지도 못했다는 --[08/12-21:12]-- 캬캬캬캬: bossng 님 태클아니고요 제가 좀 열받아서 켁 태클 같다면 죄성 --[08/12-21:13]-- 진풍백칭구: 저는 xp인데 아직 안걸렸는데. 운이 좋네요. ㅋㅋ --[08/13-15:22]-- 진풍백칭구: 저는 xp인데 아직 안걸렸는데. 운이 좋네요. ㅋㅋ --[08/13-15:22]-- 하늘님: 아따...이건 압박이다...ㅋㅋㅋ --[08/18-10:20]-- |
댓글목록
등록된 댓글이 없습니다.