본문바로가기 3.144.86.233
모바일 메뉴 닫기
상단배경사진

DCU광장

Community

메인으로

바이러스/보안게시판

[경보] 윈도우즈 웜 바이러스
작성일 : 2003/09/15 작성자 : 전산정보팀 조회수 : 5508
 
최근 계속하여 문제를 발생시키고 있는 윈도우즈 운영체제(XP/2000/NT)의
RPC에 대하여 또다른 취약점과 함께 웜 바이러스가 출현하여 문제가
되고 있습니다.
 
금번에 발생한 문제점 또한 윈도우즈 컴퓨터의 사용을 정지시키거나 속도가
현저하게 저하되는등의 문제점이 발생하고, 주변의 다른 사용자에게 피해를
줄 수 있으니, 반드시 윈도우즈 운영체제를 최신으로 업데이트 하시고
백신 프로그램 역시 최신으로 업데이트 하신다음 실시간 감시를 실행하시기
바랍니다.
 
아래의 Win32/Agobot.Worm은 지난 9월 10일 예,경보가 발령되었으며
9월 15일 현재 Win32/Randex.worm이 발견되어 백신프로그램등의
긴급 업데이트가 이루어 지고 있습니다.
본인의 백신프로그램 버젼(일자)를 확인하시고 업데이트 하시기 바랍니다.
 
==============================================================
VA2003123: Win32/agobot.Worm 예보
---------------------------------------------------------------

☆ 개요

최초 국내에서 2003년 9월 9일 발견된 바이러스로 Windows NT/2000/XP에 존재하는
RPC 취약점 외 다수의 취약점을 이용해 전파되며, 감염 시 외부의 IRC 서버를통해
감염된 시스템의 일부기능을 제어할 수 있고 시스템 정보등이 유출될 수 있다.


☆ 전파방법

□ Windows NT/2000/XP에 존재하는 RPC 취약점을 이용해 전파된다.

# RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제
(http://www.certcc.or.kr/eWAS_NOTICE/KA2003-054.htm)

□ Windows NT/2000/XP에 존재하는 WebDAV 취약점을 이용해 전파된다.

# Windows Web Component의 체크되지 않은 버퍼로 인한 코드 실행 취약점
(http://www.certcc.or.kr/eWAS_NOTICE/KA2003-013.htm)

□ Windows NT/2000/XP에 존재하는 RPC Locator 취약점을 이용해 전파된다.

# 로케이터 서비스의 체크되지 않은 버퍼로 인해 코드 실행 취약점
(http://www.certcc.or.kr/eWAS_NOTICE/KA2003-004.htm)


☆ 피해증상

□ 감염시 웜의 원본파일이 c:windowssystem나 c:winntsystem32에 복사된다.

파일명 : svchost.exe (201,216 byte)

□ 재부팅시에도 웜이 동작하기 위해 다음의 내용이 레지스트리에 추가된다.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run Config Loader = scvhost.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
RunServices Config Loader = scvhost.exe
□ 바이러스의 전파를 위해 임의의 IP주소를 생성한 후, 관련 취약점의 공격
트래픽을 발생시킨다.


☆ 예방법

최신의 윈도우 관련 패치를 설치한다.

# 윈도우즈 업데이트 사이트
http://windowsupdate.microsoft.com


☆ 치료방법

□ c:windowssystem나 c:winntsystem32 폴더를 확인하여 다음 파일이 있을
    경우 삭제한다.
 
    파일명 : svchost.exe

□ 레지스트리에서 다음 부분을 제거한다.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Config Loader = scvhost.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Config Loader = scvhost.exe

□ 사용중인 Windows의 버전에 맞춰 취약점에 대한 패치를 다음 사이트를 참고하여 설치한다.

# RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제
http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
http://www.certcc.or.kr/eWAS_NOTICE/KA2003-054.htm

# Windows Web Component의 체크되지 않은 버퍼로 인한 코드 실행 취약점
http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp
http://www.certcc.or.kr/eWAS_NOTICE/KA2003-013.htm

# 로케이터 서비스의 체크되지 않은 버퍼로 인해 코드 실행 취약점
http://www.microsoft.com/korea/technet/security/bulletin/MS03-001.asp
http://www.certcc.or.kr/eWAS_NOTICE/KA2003-054.htm


☆ 참조사이트
- http://home.ahnlab.com/smart2u/virus_detail_1217.htm l
댓글 작성
최상단 이동 버튼