정보보호 진흥원에서 Win32Welchia.worm 웜바이러스에 대한 경보가 발령되었습니다.

윈도우즈 사용자 께서는 반드시 윈도우즈를 업데이트 하시고 사용하시기 바라며

V3와 같은 바이러스 백신 프로그램또한 업데이트 하시고 실시간 감시를 켜놓고

사용하시기 바랍니다.

 

==============================================================
VA2003120: Win32.Welchia.worm 바이러스 예보
---------------------------------------------------------------

☆ 개요

2003년 8월 18일 현재 국외에는 보고자료가 없으나 중국에서 제작된 것으로 보여지며 국내에는 유입된 상태이다. Win32.Blaster.worm과 같은 RPC 취약점을 이용해 전파되며, 감염시 RPC관련 보안패치를 내려 받아 오고, 기존에 Win32.Blaster.worm 가 존재한다면 삭제하고 TCP 707 포트가 오픈된다.


☆ 전파방법

웜에 감염된 시스템은 ICMP 패킷을 전송하면서 살아있는 시스템을 찾고 RPC 취약점을 이용하여 공격을 시도한다.


☆ 피해증상

□ 감염시 RPC관련 보안패치를 내려 받아 오고, 기존에 Win32.Blaster.worm이 존재하면 강제종료후 파일을 삭제한다.
□ Windows system32 폴더에 아래의 파일을 생성한다.
파일명 : Dllhost.exe (10,240 바이트)
□ TCP 707 포트가 오픈된다.
□ 바이러스 전파를 위해 ICMP패킷을 전송해 살아 있는 다른 공격대상 시스템을 찾는다.
※ Win32.Welchia.worm은 2004년이 되어서 실행되면 자신을 실행하지 않고 삭제하는 것으로 알려져 있다.


☆ 감염시 치료방법

□ 아래 절차를 따라 웜을 활동중지 시킨다.
- [Ctrl , Alt , Delete] 를 동시에 누른다.
- [작업관리자]를 선택한다.
- 상단의 [프로세스]를 클릭한다.
- 이미지 이름에서 Dllhost.exe를 찾아 선택한다.
- [프로세스 끝내기]를 클릭하여 해당 프로그램을 종료한다.
□ Windows system32 폴더에 생성된 파일을 삭제한다.
파일명 : Dllhost.exe (10,240 바이트)


☆ 예방법

□ 사용중인 Windows의 버전에 맞춰 RPC 취약점에 대한 패치를 설치한다.


☆ 참조사이트

하우리: http://hauri.co.kr/virus/vir_read.html?code=WOW3000428
안철수연구소: http://home.ahnlab.com/smart2u/virus_detail_1206.html