Windows 2000 과 Windows XP 를 사용하시는 모든 사용자들은 반드시 아래의 Patch를 적용하시기 바랍니다.
윈도우 NT 계열 ( NT/2000/XP/2003 )의 RPC DCOM 취약성을 이용해 전파되는 웜으로 윈도우 9X 계열(윈도우 95/98/Me)는 영향을 받지 않는다.
RPC DCOM 취약성을 가진 윈도우 시스템에서 감염되며 감염된 시스템은 135번 포트(epmap)의 트래픽이 현저하게 증가하며 시스템에 따라 재부팅이나 에러 메시지가 뜨는 경우가 있다.
웜은 윈도우 NT 계열의 취약성을 이용하므로 패치를 하지 않으면 근본적으로 감염을 막을 수 없다.
[패치 방법]
시스템이 몇분마다 재부팅되는 현상이 발생하는 시스템에서는 다음과 같이 수동조치한다.
1. 네트워크 선을 뽑고 윈도우 부팅시 [F8] 을 눌러 "안전모드"로 부팅한다.
2. "윈도우 작업 관리자" ( Ctrl+Alt+Del 를 동시에 누른 후 작업 관리자(T) 선택)를 선택 후 프로세스에서 MSBlast.exe 파일을 찾아 종료 시킨다.
3. 탐색기에서 MSBLAST.EXE 파일을 찾아 삭제한다. 보기(V) -> 탐색 창(E) -> 검색(S)의 파일 및 폴더 찾기에서 MSBLAST.EXE 선택한다.
4. 찾은 MSBLAST.EXE 파일을 삭제한다.
5. 감염되지 않은 시스템에서 사용하는 OS 버전에 맞는 다음 패치를 다운 받아 플로피 디스크 등에 담아 복사한다.
6. 감염된 시스템을 재부팅한 후 플로피 디스크에 담은 패치를 하드디스크로 복사한다.
7. 복사한 패치파일을 실행하여 패치를 적용한 후 네트워크 선을 꽂고 재부팅 한다.
o 한글 Windows 2000
http://goodnews.or.kr/kr/Security/blast/Windows2000-KB823980-x86-KOR.exeo 영문 Windows 2000
http://goodnews.or.kr/kr/Security/blast/Windows2000-KB823980-x86-ENU.exeo 한글 Windows XP 32 bit Edition
http://goodnews.or.kr/kr/Security/blast/WindowsXP-KB823980-x86-KOR.exeo 영문 Windows XP 32 bit Edition
http://goodnews.or.kr/kr/Security/blast/WindowsXP-KB823980-x86-ENU.exe아래의 내용은 한국정보보호진흥원에서 알려온 내용입니다.
더 자세한 정보를 알고 싶은 분은 아래를 읽어 보시기 바랍니다.
<<< 아 래 >>>
CERTCC-KR :
http://certcc.or.kr/eWAS_NOTICE/KA2003-054.htm안녕하십니까?
한국정보보호진흥원의 CERTCC-KR 입니다.
현재등급으로 발령되었음을 알려드립니다.
==============================================================
VA2003118: WORM_MSBLAST.A 바이러스 예보
---------------------------------------------------------------
☆ 개요
최초 국외에서 2003년 8월 11일 발견된 바이러스로 국내에서도 8월 11일 도 유입된상태이다.
Windows NT/2000/XP에 존재하는 RPC 취약점을 이용해 전파되며, 감염시 외부에서도접속 가능한 백도어가 설치되고,
웜의 재 전파를 위해 135번 port에 대한 스캔이 발생하게 된다.
☆ 전파방법
·Windows NT/2000/XP에 존재하는 RPC 취약점을 이용해 전파된다.
☆ 피해증상
· 웜에 감염되면 TCP 4444 port를 사용하는 백도어가 오픈된다.
· tftp 프로그램을 사용해 웜 원본파일인 msblast.exe를 다운받는다.
· 재부팅시에도 웜이 동작하기 위해 다음의 내용이 레지스트리에 추가된다.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe
· 바이러스의 전파를 위해 임의의 IP주소를 생성한 후, RPC 취약점의 공격
트래픽을 발생시킨다.
☆ 감염시 치료방법
- Windows system32 폴더에 생성된 파일을 삭제한다.
msblast.exe
- 레지스트리에서 다음 부분을 제거한다.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe
- 백신 치료 시, 감염파일이 실행중일 경우에는 "치료불가"라는 메시지가 출력될 수 있으므로 이런 경우에는 도스모드로 부팅하여 삭제한다.
1. "치료불가"라고 나온 파일들의 경로를 메모해 둔다
2. 깨끗한 도스용 플로피 디스크나 윈도우즈 시동 디스크를 플로피 디스크
드라이브에 넣고 컴퓨터를 재부팅한다.
3. 아래와 같은 방법으로 치료불가로 확인된 파일을 삭제한다.
☆ 예방법
- 사용중인 Windows의 버전에 맞춰 RPC 취약점에 대한 패치를 설치한다.
o Windows NT 4.0 Server
http://download.microsoft.com/download/e/0/0/e0068fdc-811d-48d8-9003-92f0efc40bb1/KORQ823980i.EXE
o Windows 2000
http://goodnews.or.kr/kr/Security/Windows2000-KB823980-x86-KOR.exeo Windows XP 32 bit Edition
http://goodnews.or.kr/kr/Security/WindowsXP-KB823980-x86-KOR.exeo Windows Server 2003 32 bit Edition
http://download.microsoft.com/download/1/3/a/13a09c68-443f-446a-b3a1-a35e545c582e/WindowsServer2003-KB823980-x86-KOR.exe
☆ 참조사이트
: http://home.ahnlab.com/smart4u/virus_detail_1202.html
Microsoft Windows NT 4.0, Windows 2000, Windows XP, and Windows Server 2003를 사용하는 고객께서는 지금 바로 이 패치를 적용하시기를 강력히 권고합니다.