커피닉스, 시스템 엔지니어의 쉼터 :: 주제 보기 - 최신 윈도우즈 취약점을 이용한 zotob 웜 주의

커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳

FAQ

검색

멤버리스트

사용자 그룹

사용자 등록하기

개인 정보

비공개 메시지를 확인하려면 로그인하십시오

로그인

가입없이 누구나 글을 쓸 수 있습니다. 공지사항에 대한 댓글까지도..

BBS >> 설치, 운영 Q&A | 네트웍, 보안 Q&A | 일반 Q&A || 정보마당 | AWS || 자유게시판 | 구인구직 || 공지사항 | 의견제시

최신 윈도우즈 취약점을 이용한 zotob 웜 주의

커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보

이전 주제 보기 :: 다음 주제 보기

글쓴이

메시지

truefeel
카페 관리자

가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올려짐: 2005.8.17 수, 8:58 am 주제: 최신 윈도우즈 취약점을 이용한 zotob 웜 주의

PC가 자주 리부팅되면 의심해보세요.

관련기사 : Zotob 공격으로 미국 일부지역 컴퓨터 다운 소동 (아이뉴스24 2005.08.17)
http://news.naver.com/news/read.php?mode=LSD&office_id=031&article_id=0000066667&section_id=105&menu_id=105

--------------------------------------------------------
출처 : http://www.krcert.or.kr/

인용:

□ 개요

o zotob 웜은 윈도우즈 시스템의 최신 보안취약점인 "플러그 앤 플레이의 취약점(MS05-039)"을 이용하여
전파되는 웜으로 국내에 유입 시 피해발생이 예상되오니 주의하시기 바랍니다.
※ 플러그 앤 플레이(PnP) : 시스템에 새 하드웨어를 연결할 때 운영 체제가 이를 자동으로 발견하여 필요한
드라이버를 로드하며 설치하는 기능. 예를 들어, 시스템에 새 마우스를 연결하면 윈도우즈는 플러그 앤 플레이
기능을 이용하여 이를 발견하고 필요한 드라이버를 설치하여 새 마우스를 사용할 수 있도록 합니다.

o zotob 웜의 일부 변종은 이메일을 통해 전파되므로 메일 열람 시 주의하시기 바랍니다.

□ 전파방법

o 윈도우즈 시스템의 "플러그 앤 플레이의 취약점(MS05-039)" 취약점을 패치하지 않은 시스템을 공격하여 전파

o zotob 웜의 일부 변종은 자체 SMTP 엔진을 이용하여 "Warning!!", "**Warning**", "Hello", "Confirmed...",
"Important!" 등의 제목을 갖는 이메일을 발송하여 전파

□ 해당 시스템

o "플러그 앤 플레이의 취약점(MS05-039)" 취약점을 패치하지 않은 윈도우즈 2000 시스템
※ 한글 윈도우즈 2000 시스템은 감염되지 않고 리부팅되는 현상만 있으나, 변종 출현 시 감염이 우려됨

o 이메일로 전파되는 일부 변종은 대부분의 윈도우즈 시스템(윈도우즈 2000, NT, XP 등)이 해당됨

□ 피해 증상

o 윈도우즈 "시스템폴더"에 아래의 파일을 복사
- botzor.exe (변종B:csm.exe ), HAHA.EXE, 2pac.txt
※ 시스템 폴더 윈도우 95/98/ME : C:\Windows\System
윈도우 NT/2000 : C:\WinNT\System32
윈도우 XP : C:\Windows\System32

o 레지스트리 변경 및 추가(윈도우 재시작시 자동실행 설정)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
WINDOWS SYSTEM = "botzor.exe"(변종B:csm.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
WINDOWS SYSTEM = "botzor.exe"(변종B:csm.exe)

o 윈도우즈 방화벽 기능을 중지시킨다.

o 특정 IRC서버에 TCP/8080포트를 통해 접속되고 감염시스템에 Tcp/8888포트가 열려
파일 실행 및 삭제, 메일발송 등의 악의적인 기능이 수행될 수 있음

o 웜 원본 파일 전파를 위한 ftp서비스(tcp/33333포트)를 오픈하고,
타 시스템의 공격에 성공하면 웜 원본파일이 이 서비스를 통해 발송된다.

o 바이러스 백신 사이트 접속 차단을 위해 시스템폴더\drivers\etc\hosts 파일 변조
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
...

o 일부 변종은 자체 SMTP 엔진을 사용하여 웜 전파를 위한 대량 메일을 발송한다.

□ 예방 및 대응 방안
o 네트워크 관리자
- 바이러스 월의 패턴이 최신으로 업데이트 되었는지 확인한다
- diabl0.turkcoders.net(wait.atillaekici.net) 도메인 쿼리 트래픽을 차단하도록 한다

o 사용자
- 최신으로 윈도우즈를 패치한다.
- 출처가 불분명한 메일이나 웜 전파 메일로 의심되는 메일은 읽지 않는다.
- 백신 사용자는 최신 패턴 업데이트 후 검사 및 치료 한다

□ 참조Site
o http://www.krcert.or.kr/intro/notice_read.jsp?NUM=87&menu=1
o http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
o http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.a.html
o http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.b.html

==============================================================

※ W32.Zotob에 대한 대응 방법

1. W32.Zotob의 특징은 무엇인가?
A) W32.Zotob웜은 최신의 취약점으로(MS05-039)으로 전파되는 웜이다.
감염 시 시스템 폴더에 웜 파일 복사 및 레지스트리가 추가되며,
감염 후 주요 백신사이트(국외)에 접속할수 없으며,
감염후 tcp/8080포트를 통해 임의의 IRC 서버로 접속을 시도하며,
웜 원본 파일 전파를 위한 ftp서비스(tcp/33333포트)를 오픈한다.

B) 일부 변종은 "Warning!!", "**Warning**", "Hello", "Confirmed...", "Important!" 등의
메일 제목으로 전파된다.

2. 감염 예방 방법은 무엇인가?
A) 위에서 언급된 취약점(MS05-039)을 패치한다.
패치사이트 : http://update.microsoft.com

B) 출처가 불분명한 메일이나 웜 전파 메일로 의심되는 메일은 읽지 않는다.

3. 제 컴퓨터가 감염이 되었는지 확인할 수 있는 방법은 무엇인가?
A) 시스템 폴더에 botzor.exe, csm.exe, HAHA.EXE, 2pac.txt 파일이 존재하는지 확인하여,
해당 파일이 존재한다면 감염된 것으로 보아야 한다.
※ 시스템 폴더 윈도우 95/98/ME : C:\Windows\System
윈도우 NT/2000 : C:\WinNT\System32
윈도우 XP : C:\Windows\System32

4. 감염 후, 백신이 없는 경우 수동 해결 방법은 무엇인가?
A) ① 안전모드로 부팅
② 웜이 생성한 레지스트리 삭제
- 레지스트리 위치
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
WINDOWS SYSTEM = "botzor.exe"(변종B:csm.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
WINDOWS SYSTEM = "botzor.exe"(변종B:csm.exe)

③ 웜 파일 삭제
- 위치 : 시스템 폴더
- 파일명: botzor.exe(csm.exe), HAHA.EXE
④ 변조된 hosts 파일 복구
시스템폴더\drivers\etc\hosts 파일을 텍스트 에디터로 오픈하여
loopback(127.0.0.1)으로 설정되어 있는 도메인 중 localhost를 제외한 나머지 도메인들을
제거하고 저장한다.
⑤ 재 부팅

5. 기타 문의사항
한국정보보호진흥원 인터넷침해사고대응지원센터 : “02-118 “ 또는 백신 소프트웨어 제조사

최초작성일 : 2005-08-15, 18시01분
수정게시 : 2005-08-16, 09시17분
수정게시 : 2005-08-16, 20시35분

위로

이전 글 표시:

	커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보	시간대: GMT + 9 시간(한국)
페이지 1 중 1

새로운 주제를 올릴 수 있습니다
답글을 올릴 수 있습니다
주제를 수정할 수 없습니다
올린 글을 삭제할 수 없습니다
투표를 할 수 없습니다