최근 계속하여 문제를 발생시키고 있는 윈도우즈 운영체제(XP/2000/NT)의
RPC에 대하여 또다른 취약점과 함께 웜 바이러스가 출현하여 문제가
되고 있습니다.
금번에 발생한 문제점 또한 윈도우즈 컴퓨터의 사용을 정지시키거나 속도가
현저하게 저하되는등의 문제점이 발생하고, 주변의 다른 사용자에게 피해를
줄 수 있으니, 반드시 윈도우즈 운영체제를 최신으로 업데이트 하시고
백신 프로그램 역시 최신으로 업데이트 하신다음 실시간 감시를 실행하시기
바랍니다.
아래의 Win32/Agobot.Worm은 지난 9월 10일 예,경보가 발령되었으며
9월 15일 현재 Win32/Randex.worm이 발견되어 백신프로그램등의
긴급 업데이트가 이루어 지고 있습니다.
본인의 백신프로그램 버젼(일자)를 확인하시고 업데이트 하시기 바랍니다.
==============================================================
VA2003123: Win32/agobot.Worm 예보
---------------------------------------------------------------
☆ 개요
최초 국내에서 2003년 9월 9일 발견된 바이러스로 Windows NT/2000/XP에 존재하는
RPC 취약점 외 다수의 취약점을 이용해 전파되며, 감염 시 외부의 IRC 서버를통해
감염된 시스템의 일부기능을 제어할 수 있고 시스템 정보등이 유출될 수 있다.
☆ 전파방법
□ Windows NT/2000/XP에 존재하는 RPC 취약점을 이용해 전파된다.
# RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제
(
http://www.certcc.or.kr/eWAS_NOTICE/KA2003-054.htm)
□ Windows NT/2000/XP에 존재하는 WebDAV 취약점을 이용해 전파된다.
# Windows Web Component의 체크되지 않은 버퍼로 인한 코드 실행 취약점
(
http://www.certcc.or.kr/eWAS_NOTICE/KA2003-013.htm)
□ Windows NT/2000/XP에 존재하는 RPC Locator 취약점을 이용해 전파된다.
# 로케이터 서비스의 체크되지 않은 버퍼로 인해 코드 실행 취약점
(
http://www.certcc.or.kr/eWAS_NOTICE/KA2003-004.htm)
☆ 피해증상
□ 감염시 웜의 원본파일이 c:windowssystem나 c:winntsystem32에 복사된다.
파일명 : svchost.exe (201,216 byte)
□ 재부팅시에도 웜이 동작하기 위해 다음의 내용이 레지스트리에 추가된다.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run Config Loader = scvhost.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
RunServices Config Loader = scvhost.exe
□ 바이러스의 전파를 위해 임의의 IP주소를 생성한 후, 관련 취약점의 공격
트래픽을 발생시킨다.
☆ 예방법
최신의 윈도우 관련 패치를 설치한다.
# 윈도우즈 업데이트 사이트
http://windowsupdate.microsoft.com
☆ 치료방법
□ c:windowssystem나 c:winntsystem32 폴더를 확인하여 다음 파일이 있을