============================================================== VA2003118: WORM_MSBLAST.A 바이러스 예보 ---------------------------------------------------------------
☆ 개요
최초 국외에서 2003년 8월 11일 발견된 바이러스로 국내에서도 8월 11일 도 유입된 상태이다. Windows NT/2000/XP에 존재하는 RPC 취약점을 이용해 전파되며, 감염시 외부에서도 접속 가능한 백도어가 설치되고, 웜의 재 전파를 위해 135번 port에 대한 스캔이 발생하게 된다.
☆ 전파방법
·Windows NT/2000/XP에 존재하는 RPC 취약점을 이용해 전파된다.
☆ 피해증상
· 웜에 감염되면 TCP 4444 port를 사용하는 백도어가 오픈된다.
· tftp 프로그램을 사용해 웜 원본파일인 msblast.exe를 다운받는다.
· 재부팅시에도 웜이 동작하기 위해 다음의 내용이 레지스트리에 추가된다. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe
· 바이러스의 전파를 위해 임의의 IP주소를 생성한 후, RPC 취약점의 공격 트래픽을 발생시킨다.
☆ 감염시 치료방법
- Windows system32 폴더에 생성된 파일을 삭제한다. msblast.exe
- 레지스트리에서 다음 부분을 제거한다. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe
- 백신 치료 시, 감염파일이 실행중일 경우에는 "치료불가"라는 메시지가 출력될 수 있으므로 이런 경우에는 도스모드로 부팅하여 삭제한다.
1. "치료불가"라고 나온 파일들의 경로를 메모해 둔다 2. 깨끗한 도스용 플로피 디스크나 윈도우즈 시동 디스크를 플로피 디스크 드라이브에 넣고 컴퓨터를 재부팅한다. 3. 아래와 같은 방법으로 치료불가로 확인된 파일을 삭제한다.
o Windows 2000 http://www.microsoft.com/korea/technet/security/bulletin/ o Windows XP 32 bit Edition http://download.microsoft.com/download/e/3/1/e31b9d29-f650-4078-8a76-3e81eb4554f6/WindowsXP-KB823980-x86-KOR.exe
o Windows Server 2003 32 bit Edition http://download.microsoft.com/download/1/3/a/13a09c68-443f-446a-b3a1-a35e545c582e/WindowsServer2003-KB823980-x86-KOR.exe