지난 8월 4일 한국정보보호진흥원에서 Backdoor.IRC.Cirebot에 대한 예보가
발령되었습니다. 이는 마이크로소프트 DCOM RPC의 취약점과 IIS Unicode 취약점,
SQL관리자 패스워드 취약점, P2P프로그램의 공유폴더등을 이용하여 전파되는
바이러스로 감염시 내부자료가 외부로 유출될 수 있습니다.
윈도우즈(2000/XP/98) 사용자께서는 반드시 백신을 최신으로 업데이트 하시고
업데이트하시고 사용하시기 바랍니다.
==============================================================
VN2003335: [C급 : 예경보]Backdoor.IRC.Cirebot 예보
---------------------------------------------------------------
☆ 개요
Backdoor.IRC.Cirebot 바이러스는 8월 2일 외국에서 발견되어 국내 유입이 확인되었다. 이 바이러스는 최근 나온 마이크로소프트 DCOM RPC 취약점 및 IIS Unicode 취약점, SQL 관리자 Null 패스워드 취약점 그리고 P2P 프로그램의 공유폴더 등을 이용해 전파되므로 국내 사용자들의 주의가 요구된다.
☆ 전파방법
·마이크로소프트 DCOM RPC 취약점
·IIS Unicode 취약점
·SQL 관리자 패스워드 취약점
·P2P 프로그램의 공유폴더 등을 통해 전파
☆ 피해증상
자동 설치된 백도어를 통해 허용되지 않은 사용자의 원격접속이 가능하므로 원격조작 및 내부자료가 유출될 위험이 있다.
·감염 확인 : c: pc.exe c: pctest.exe 또는 c:lolx.exe 파일이 존재한다.
·네트워크 공격여부 확인 : 연속적인 IP 어드레스에 의한 포트 445 트래픽 증가
·공격 성공여부 확인 (원격 쉘과 백도어의 다운로딩을 허용) : 포트 57005 오픈 및 포트 69 를 통한 ftp 커넥션
☆ 감염시 치료방법
백신을 최신엔진으로 업데이트 한 후 검사하여 제거한다.
☆ 예방법
o 마이크로소프트사에서 제공하는 보안패치 설치
· DCOM RPC 인터페이스 버퍼 오버런 패치
-
http://www.microsoft.com/korea/technet/security/bulletin/MS03-26.asp · IIS Unicode 취약점 패치
-
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp o 시스템이 Windows ME/XP인 경우에는 복구기능을 해제한다.
· Windows ME
ⓛ [시작] -> [설정] -> [제어판]을 실행
② [시스템] -> [성능] 탭을 선택
③ [파일 시스템] -> [문제해결] 선택
④ [시스템 복원 사용 안함] 체크박스에 체크 한 후 [확인]를 눌러 적용
· Windows XP
① 바탕화면의 [내컴퓨터]를 선택 한 후 마우스 오른쪽을 눌러 [속성] 선택
② [시스템 복원] -> [시스템 복원 사용 안함] 체크박스에 체크
③ 확인메시지가 뜨면 [예]를 선택해 적용
o SQL 서버 관리자들은 SQL 서버 관리자 계정 패스워드 설정을 철처히 한다.
☆ 참조사이트
:
http://symantec.com/avcenter/venc/data/backdoor.irc.cirebot.html
