한국어
winbbs에서 퍼온 글입니다.. 2000인 경우 msblast가 아닌 그냥 blast.exe로 나오는거 같습니다. 아무튼 blast나 msblast나 둘다 제거해야합니다...
이미 감염되었을 경우 패치 설치만으로 시스템이 정상화되지 않습니다. 다음과 같은 응급 조치를 취하십시오.
1. 이미 실행 중인 msblast.exe 종료하기
- Ctrl + Shift + Esc를 눌러서 [작업 관리자]를 엽니다.
- [프로세스] 탭에서 msblast.exe를 찾습니다. "이미지 이름" 줄을 눌러서 알파벳 순으로 정렬하면 쉽게 찾을 수 있습니다.
- msblast.exe를 선택하고 [프로세스 끝내기] 버튼을 누릅니다.
2. MS03-026 패치 다운로드
- MS03-026 패치를 다운로드합니다.
-마이크로소프트 보안 패치 MS03-026:
http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
- 곧바로 설치하지 않고, 안전한 위치에 저장합니다.
3. 네트워크 연결 끊기
- 재감염을 막기 위해 네트워크 케이블을 뽑습니다.
- 또한, Windows XP의 경우 [내 컴퓨터]의 [속성] 중 [시스템 복원] 탭에서 "모든 드라이브에 시스템 복원 사용 안 함"을 체크하십시오. 나중에 치료가 끝난 후에 필요에 따라 다시 체크를 제거할 수 있습니다.
4. 웜 파일 제거하기
- 탐색기에서 Windows\System32 또는 Winnt\System32를 엽니다.
- msblast.exe를 찾아서 삭제합니다.
- 휴지통으로 버렸을 경우 휴지통을 비웁니다.
5. 웜이 자동 실행되도록 하는 레지스트리 값 제거하기
- [시작] - [실행]에서 regedit를 실행합니다.
- [레지스트리 편집기]의 왼쪽 트리에서 다음 키를 선택합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 오른쪽 창에서 "windows auto update"라는 값을 선택합니다.
- Del 키를 눌러서 삭제합니다.
- [레지스트리 편집기]를 종료하고 컴퓨터를 재부팅합니다.
6. 패치 적용하기
- 위 단계와 같이 치료했다고 하더라도 패치가 설치되지 않은 컴퓨터는 쉽게 재감염될 수 있습니다. 따라서 앞서 다운로드하여 보관중인 MS03-026 패치를 반드시 설치하십시오.
- 패치가 설치된 후 재부팅 할 것인지 물을 때 반드시 재부팅합니다.
7. 네크워크 케이블 연결 후 정상적으로 사용
[주의사항]
한 번 이 웜에 감염된 컴퓨터는 감염되어 있던 동안 공격자가 침입할 수 있는 경로를 열기 때문에 그 시간 동안 공격자가 시스템 설정을 바꾸거나 자료를 열람했을 수도 있습니다. 이 경우 포맷 후 시스템을 재설치하기 전까지는 안전하다고 볼 수 없습니다.
[패치적용 방법]
1. 윈도우 [실행]-[Windows Update]메뉴를 선택합니다.
2. `업데이트 검색`을 선택합니다.
3. 설치할 중요 업데이트 항목에서 `823980` 를 선택하여 설치합니다. 이때 `823980` 뿐 아니라, 다른 보안 업데이트 항목도 함께 설치하기를 권장합니다.
[참고사이트]
http://www.hauri.co.kr/virus/vir_read.html?code=IWW3000424
http://www.hauri.co.kr/news/notice_read.html?start=2&uid=434&s_type=&s_text=
이 파일을 확인해 본 결과 UPX로 실행압축이 되어 있으며, 파일 크기는 6,176 바이트입니다.
이 웜이 실행되면 다음의 레지스트리에 등록이 된다.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
이 름 : windows auto update
데이터 : msblast.exe
그런뒤 135번 포트를 통해 다른 PC들에게 DCOM RPC 공격을 시도하게 된다. 공격에 성공하면 tftp를 통해서 웜을 다운로드 받아서 실행하며, 계속적으로 이 같은 동작을 반복하게 된다.
또한 일부 시스템에서는 계속적인 재부팅 현상이 발생하기도 한다.
DCOM RPC 보안에 취약한 OS들은 아래와 같다.
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003
따라서 위의 OS를 사용하고 있다면 다음을 통해서 보안 패치를 받기 바란다.
해당 패치의 다운로드 위치:
- Windows NT 4.0 Server
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=ko
- Windows NT 4.0 Terminal Server Edition
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
- Windows 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=ko
- Windows XP 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ko
- Windows XP 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
- Windows Server 2003 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=ko
- Windows Server 2003 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
- 전산 전문가용: http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
- 최종 사용자용: http://www.microsoft.com/korea/technet/security/bulletin/security_bulletins/ms03-026.asp
[서버 관리자]
이 웜은 135번 포트의 공격으로 보안에 취약한 PC를 공격하기 때문에 135번 포트를 방화벽에서 막을려고 하면 안된다.
135번 포트는 일반적으로 많이 사용하는 포트이기 때문이며 이 웜이 tftp를 통해서 다운로드 받기 때문에 4444번 포트를 방화벽에서 막는것이 우선적으로 효과적이다.
이미 감염되었을 경우 패치 설치만으로 시스템이 정상화되지 않습니다. 다음과 같은 응급 조치를 취하십시오.
1. 이미 실행 중인 msblast.exe 종료하기
- Ctrl + Shift + Esc를 눌러서 [작업 관리자]를 엽니다.
- [프로세스] 탭에서 msblast.exe를 찾습니다. "이미지 이름" 줄을 눌러서 알파벳 순으로 정렬하면 쉽게 찾을 수 있습니다.
- msblast.exe를 선택하고 [프로세스 끝내기] 버튼을 누릅니다.
2. MS03-026 패치 다운로드
- MS03-026 패치를 다운로드합니다.
-마이크로소프트 보안 패치 MS03-026:
http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
- 곧바로 설치하지 않고, 안전한 위치에 저장합니다.
3. 네트워크 연결 끊기
- 재감염을 막기 위해 네트워크 케이블을 뽑습니다.
- 또한, Windows XP의 경우 [내 컴퓨터]의 [속성] 중 [시스템 복원] 탭에서 "모든 드라이브에 시스템 복원 사용 안 함"을 체크하십시오. 나중에 치료가 끝난 후에 필요에 따라 다시 체크를 제거할 수 있습니다.
4. 웜 파일 제거하기
- 탐색기에서 Windows\System32 또는 Winnt\System32를 엽니다.
- msblast.exe를 찾아서 삭제합니다.
- 휴지통으로 버렸을 경우 휴지통을 비웁니다.
5. 웜이 자동 실행되도록 하는 레지스트리 값 제거하기
- [시작] - [실행]에서 regedit를 실행합니다.
- [레지스트리 편집기]의 왼쪽 트리에서 다음 키를 선택합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 오른쪽 창에서 "windows auto update"라는 값을 선택합니다.
- Del 키를 눌러서 삭제합니다.
- [레지스트리 편집기]를 종료하고 컴퓨터를 재부팅합니다.
6. 패치 적용하기
- 위 단계와 같이 치료했다고 하더라도 패치가 설치되지 않은 컴퓨터는 쉽게 재감염될 수 있습니다. 따라서 앞서 다운로드하여 보관중인 MS03-026 패치를 반드시 설치하십시오.
- 패치가 설치된 후 재부팅 할 것인지 물을 때 반드시 재부팅합니다.
7. 네크워크 케이블 연결 후 정상적으로 사용
[주의사항]
한 번 이 웜에 감염된 컴퓨터는 감염되어 있던 동안 공격자가 침입할 수 있는 경로를 열기 때문에 그 시간 동안 공격자가 시스템 설정을 바꾸거나 자료를 열람했을 수도 있습니다. 이 경우 포맷 후 시스템을 재설치하기 전까지는 안전하다고 볼 수 없습니다.
[패치적용 방법]
1. 윈도우 [실행]-[Windows Update]메뉴를 선택합니다.
2. `업데이트 검색`을 선택합니다.
3. 설치할 중요 업데이트 항목에서 `823980` 를 선택하여 설치합니다. 이때 `823980` 뿐 아니라, 다른 보안 업데이트 항목도 함께 설치하기를 권장합니다.
[참고사이트]
http://www.hauri.co.kr/virus/vir_read.html?code=IWW3000424
http://www.hauri.co.kr/news/notice_read.html?start=2&uid=434&s_type=&s_text=
이 파일을 확인해 본 결과 UPX로 실행압축이 되어 있으며, 파일 크기는 6,176 바이트입니다.
이 웜이 실행되면 다음의 레지스트리에 등록이 된다.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
이 름 : windows auto update
데이터 : msblast.exe
그런뒤 135번 포트를 통해 다른 PC들에게 DCOM RPC 공격을 시도하게 된다. 공격에 성공하면 tftp를 통해서 웜을 다운로드 받아서 실행하며, 계속적으로 이 같은 동작을 반복하게 된다.
또한 일부 시스템에서는 계속적인 재부팅 현상이 발생하기도 한다.
DCOM RPC 보안에 취약한 OS들은 아래와 같다.
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003
따라서 위의 OS를 사용하고 있다면 다음을 통해서 보안 패치를 받기 바란다.
해당 패치의 다운로드 위치:
- Windows NT 4.0 Server
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=ko
- Windows NT 4.0 Terminal Server Edition
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
- Windows 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=ko
- Windows XP 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ko
- Windows XP 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
- Windows Server 2003 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=ko
- Windows Server 2003 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
- 전산 전문가용: http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
- 최종 사용자용: http://www.microsoft.com/korea/technet/security/bulletin/security_bulletins/ms03-026.asp
[서버 관리자]
이 웜은 135번 포트의 공격으로 보안에 취약한 PC를 공격하기 때문에 135번 포트를 방화벽에서 막을려고 하면 안된다.
135번 포트는 일반적으로 많이 사용하는 포트이기 때문이며 이 웜이 tftp를 통해서 다운로드 받기 때문에 4444번 포트를 방화벽에서 막는것이 우선적으로 효과적이다.
Comment '1'
-
와우..감사합니다...
Designed by sketchbooks.co.kr / sketchbook5 board skin
Sketchbook5, 스케치북5
Sketchbook5, 스케치북5
Sketchbook5, 스케치북5
Sketchbook5, 스케치북5