본문바로가기 3.137.198.239
모바일 메뉴 닫기
상단배경사진

DCU광장

Community

메인으로

바이러스/보안게시판

VN2003335: [C급 : 예경보]Backdoor.IRC.Cirebot 경보
작성일 : 2003/08/07 작성자 : 전산정보팀 조회수 : 5915
지난 8월 4일 한국정보보호진흥원에서 Backdoor.IRC.Cirebot에 대한 예보가
발령되었습니다. 이는 마이크로소프트 DCOM RPC의 취약점과 IIS Unicode 취약점,
SQL관리자 패스워드 취약점, P2P프로그램의 공유폴더등을 이용하여 전파되는
바이러스로 감염시 내부자료가 외부로 유출될 수 있습니다.
윈도우즈(2000/XP/98) 사용자께서는 반드시 백신을 최신으로 업데이트 하시고
운영체제에 대한 보안 업데이트(http://windowsupdate.microsoft.com)를
업데이트하시고 사용하시기 바랍니다.
 
 
==============================================================
VN2003335: [C급 : 예경보]Backdoor.IRC.Cirebot 예보
---------------------------------------------------------------

☆ 개요

Backdoor.IRC.Cirebot 바이러스는 8월 2일 외국에서 발견되어 국내 유입이 확인되었다. 이 바이러스는 최근 나온 마이크로소프트 DCOM RPC 취약점 및 IIS Unicode 취약점, SQL 관리자 Null 패스워드 취약점 그리고 P2P 프로그램의 공유폴더 등을 이용해 전파되므로 국내 사용자들의 주의가 요구된다.


☆ 전파방법

·마이크로소프트 DCOM RPC 취약점
·IIS Unicode 취약점
·SQL 관리자 패스워드 취약점
·P2P 프로그램의 공유폴더 등을 통해 전파


☆ 피해증상

자동 설치된 백도어를 통해 허용되지 않은 사용자의 원격접속이 가능하므로 원격조작 및 내부자료가 유출될 위험이 있다.

·감염 확인 : c: pc.exe c: pctest.exe 또는 c:lolx.exe 파일이 존재한다.
·네트워크 공격여부 확인 : 연속적인 IP 어드레스에 의한 포트 445 트래픽 증가
·공격 성공여부 확인 (원격 쉘과 백도어의 다운로딩을 허용) : 포트 57005 오픈 및 포트 69 를 통한 ftp 커넥션


☆ 감염시 치료방법

백신을 최신엔진으로 업데이트 한 후 검사하여 제거한다.


☆ 예방법

o 마이크로소프트사에서 제공하는 보안패치 설치

· DCOM RPC 인터페이스 버퍼 오버런 패치
- http://www.microsoft.com/korea/technet/security/bulletin/MS03-26.asp
· IIS Unicode 취약점 패치
- http://www.microsoft.com/technet/security/bulletin/MS00-078.asp

o 시스템이 Windows ME/XP인 경우에는 복구기능을 해제한다.

· Windows ME
ⓛ [시작] -> [설정] -> [제어판]을 실행
② [시스템] -> [성능] 탭을 선택
③ [파일 시스템] -> [문제해결] 선택
④ [시스템 복원 사용 안함] 체크박스에 체크 한 후 [확인]를 눌러 적용

· Windows XP
① 바탕화면의 [내컴퓨터]를 선택 한 후 마우스 오른쪽을 눌러 [속성] 선택
② [시스템 복원] -> [시스템 복원 사용 안함] 체크박스에 체크
③ 확인메시지가 뜨면 [예]를 선택해 적용

o SQL 서버 관리자들은 SQL 서버 관리자 계정 패스워드 설정을 철처히 한다.


☆ 참조사이트

: http://symantec.com/avcenter/venc/data/backdoor.irc.cirebot.html
댓글 작성
최상단 이동 버튼