[주의] WORM_MSBLAST.A 바이러스 예보

[truefeel]

☆ 개요

최초 국외에서 2003년 8월 11일 발견된 바이러스로 국내에서도 8월 11일 도 유입된 상태이다. Windows NT/2000/XP에 존재하는 RPC 취약점을 이용해 전파되며, 감염시 외부에서도 접속 가능한 백도어가 설치되고, 웜의 재 전파를 위해 135번 port에 대한 스캔이 발생하게 된다.
☆ 전파방법
Windows NT/2000/XP에 존재하는 RPC 취약점을 이용해 전파된다.
☆ 피해증상

□ 웜에 감염되면 TCP 4444 port를 사용하는 백도어가 오픈된다.

□ tftp 프로그램을 사용해 웜 원본파일인 msblast.exe를 다운받는다.

□ 재부팅시에도 웜이 동작하기 위해 다음의 내용이 레지스트리에 추가된다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe

□ 바이러스의 전파를 위해 임의의 IP주소를 생성한 후, RPC 취약점의 공격 트래픽을 발생시킨다.
☆ 감염시 치료방법

□ Windows 해당 프로세스(msblaster.exe)를 찾아 정지시킨다.

□ Windows system32 폴더에 생성된 파일(msblast.exe)을 삭제한다.

□ 레지스트리에서 다음 부분을 제거한다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe

□ 사용중인 Windows의 버전에 맞춰 RPC 취약점에 대한 패치를 설치한다.

* Windows NT 4.0 Server
* Windows NT 4.0 Terminal Server Edition(영문버전)
* Windows 2000
* Windows XP 32 bit Edition
* Windows XP 64 bit Edition (영문버전)
* Windows Server 2003 32 bit Edition
* Windows Server 2003 64 bit Edition(영문버전)

□ 백신 치료 시, 감염파일이 실행중일 경우에는 "치료불가"라는 메시지가 출력될 수 있으므로 이런 경우에는 도스모드로 부팅하여 삭제한다.

1. "치료불가"라고 나온 파일들의 경로를 메모해 둔다.
2. 깨끗한 도스용 플로피 디스크나 윈도우즈 시동 디스크를 플로피 디스크 드라이브에 넣고 컴퓨터를 재부팅한다.
3. 아래와 같은 방법으로 치료불가로 확인된 파일을 삭제한다.


안철수연구소 : http://home.ahnlab.com/smart4u/virus_detail_1202.html
시맨텍 : http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.html
트랜드마이크로 : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
맥아피 : http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547

[truefeel]

□ 응급 조치 방법

※ Windows95/98/ME는 해당되지 않는다. 아래의 방법을 순서에 따라 해당시스템에 적용하기 바란다.

1. 웜이 확산되는 것을 방지하기 위해 인터넷 전용선 또는 네트워크 라인을 PC에서 분리한다.

2. 영향 받는 모든 시스템에서의 DCOM 기능 해제

가. Windows 2000 시스템인 경우

가) 시작버튼 → 실행 → Dcomcnfg 입력 → 확인


나) DCOM 구성 등록정보 창에서 '기본 등록 정보' 탭 선택
다) '이 컴퓨터에서 DCOM 사용' 란의 체크 취소

라) 적용 단추를 클릭하여 DCOM을 해제하고 DCOM 구성을 종료

나. Windows XP, 2003 서버 시스템인 경우

가) 시작버튼 → 제어판 → 관리도구 → 구성요소서비스 클릭

나) 컴퓨터 하위폴더 열기 → '내 컴퓨터'를 마우스 오른쪽 버튼으로 클릭→ 속성 선택

다) 내 컴퓨터 등록정보 창이 열림
라) '기본 속성' 탭 선택
마) Windows2000의 경우와 동일하게 '이 컴퓨터에서 DCOM 사용' 란의 체크 취소하고 적용버튼 클릭

3. 위의 방법에 따라 DCOM 사용을 중지시킨 다음 아래의 방법으로 웜을 제거한다.

가) "Ctrl+Alt+Delete" 키를 누른다.
나) "작업관리자"를 클릭한다.
다) "프로세스"탭을 클릭한다.
라) "이미지 이름"에서 "msblast.exe"를 찾는다.
마) "프로세스 끝내기"를 클릭한다.

바) "C:\Windows(또는 WINNT)\system32\msblast.exe" 삭제
사) 레지스트리에서 "msblast.exe"를 찾아 삭제한다.

※ 시작 → 실행 → "regedit" 입력 후 엔터

아) 시스템을 재시작(Reboot)한다.
자) 아래 URL에서 패치 다운로드 한다.

* Windows NT 4.0 Server
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displa%20ylang=ko
* Windows NT 4.0 Terminal Server Edition
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
* Windows 2000
http://download.microsoft.com/download/6/9/5/6957d785-fb7a-4ac9-b1e6-cb99b62f9f2a/Windows2000-KB823980-x86-KOR.exe
* Windows XP 32 bit Edition
http://download.microsoft.com/download/e/3/1/e31b9d29-f650-4078-8a76-3e81eb4554f6/WindowsXP-KB823980-x86-KOR.exe
* Windows XP 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&%20displaylang=en
4. 최신의 백신을 사용하여 제거한다.

※ 최신 백신으로 업데이트를 하지 않을 경우 백신프로그램에 의한 검사가 이루어지지 않을 수 있다.