본문바로가기 18.118.166.130
모바일 메뉴 닫기
상단배경사진

DCU광장

Community

메인으로

바이러스/보안게시판

[B급 : 예경보] WORM_MSBLAST.A 바이러스 경보
작성일 : 2003/08/13 작성자 : 전산정보팀 조회수 : 6003
8월 12일 아침부터 윈도우즈 운영체제의 취약점을 악용하여 네트워크를 이용하여
전파되는 웜바이러스가 많은 문제가 되고 있습니다.
지난 7월 25일 문제점이 발견되어 공지사항을 통하여 정보를 제공하고,
네트워크상에서 해당 웜바이러스가 침투하지 못하도록 미리 조치를 취하였으나
경우에따라 감염된 윈도우즈 컴퓨터도 존재할 것으로 생각됩니다.
 
윈도우즈 사용자께서는 반드시 윈도우즈 업데이트(http://windowsupdate.microsoft.com/) 를 실시하시고, 백신소프트웨어를
최신으로 업데이트하신다음 실시간 감시를 켜놓고 사용하시기 바랍니다.
또한 아래의 메세지에서 나오는 바와 같이 '치료불가' 화일이 발생할 수도 있으니
백신소프트웨어의 메세지를 자세히 읽어보시고 대응행동을 취하시기 바랍니다.
만약 대응행동을 취하시기 어려우시면 Helpdesk(2629)으로 연락하시기 바랍니다.
 
만약 이미 웜바이러스에 감염되어 컴퓨터가 계속 리부팅되는등의 증상이 나타나면
아래의 URL에서 수동조치법을 읽어보시고 조치를 취하시기 바랍니다.

==============================================================
VA2003118: WORM_MSBLAST.A 바이러스 예보
---------------------------------------------------------------

☆ 개요

최초 국외에서 2003년 8월 11일 발견된 바이러스로 국내에서도 8월 11일 도 유입된 상태이다. Windows NT/2000/XP에 존재하는 RPC 취약점을 이용해 전파되며, 감염시 외부에서도 접속 가능한 백도어가 설치되고, 웜의 재 전파를 위해 135번 port에 대한 스캔이 발생하게 된다.


☆ 전파방법

·Windows NT/2000/XP에 존재하는 RPC 취약점을 이용해 전파된다.


☆ 피해증상

· 웜에 감염되면 TCP 4444 port를 사용하는 백도어가 오픈된다.

· tftp 프로그램을 사용해 웜 원본파일인 msblast.exe를 다운받는다.

· 재부팅시에도 웜이 동작하기 위해 다음의 내용이 레지스트리에 추가된다.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe

· 바이러스의 전파를 위해 임의의 IP주소를 생성한 후, RPC 취약점의 공격 트래픽을 발생시킨다.


☆ 감염시 치료방법

- Windows system32 폴더에 생성된 파일을 삭제한다.
msblast.exe

- 레지스트리에서 다음 부분을 제거한다.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe

- 백신 치료 시, 감염파일이 실행중일 경우에는 "치료불가"라는 메시지가 출력될 수 있으므로 이런 경우에는 도스모드로 부팅하여 삭제한다.

1. "치료불가"라고 나온 파일들의 경로를 메모해 둔다
2. 깨끗한 도스용 플로피 디스크나 윈도우즈 시동 디스크를 플로피 디스크 드라이브에 넣고 컴퓨터를 재부팅한다.
3. 아래와 같은 방법으로 치료불가로 확인된 파일을 삭제한다.


☆ 예방법

- 사용중인 Windows의 버전에 맞춰 RPC 취약점에 대한 패치를 설치한다.

o Windows NT 4.0 Server
http://download.microsoft.com/download/e/0/0/e0068fdc-811d-48d8-9003-92f0efc40bb1/KORQ823980i.EXE

o Windows 2000
http://www.microsoft.com/korea/technet/security/bulletin/
o Windows XP 32 bit Edition
http://download.microsoft.com/download/e/3/1/e31b9d29-f650-4078-8a76-3e81eb4554f6/WindowsXP-KB823980-x86-KOR.exe

o Windows Server 2003 32 bit Edition
http://download.microsoft.com/download/1/3/a/13a09c68-443f-446a-b3a1-a35e545c582e/WindowsServer2003-KB823980-x86-KOR.exe


☆ 참조사이트

: http://home.ahnlab.com/smart4u/virus_detail_1202.html
: http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547
: http://www.hauri.co.kr/virus/vir_read.html?code=WOW3000424
: http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.html
: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A 
댓글 작성
최상단 이동 버튼