커피닉스, 시스템 엔지니어의 쉼터 :: 주제 보기 - W32.Sasser 웜 및 MS04-011 보안 업데이트

커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳

FAQ

검색

멤버리스트

사용자 그룹

사용자 등록하기

개인 정보

비공개 메시지를 확인하려면 로그인하십시오

로그인

가입없이 누구나 글을 쓸 수 있습니다. 공지사항에 대한 댓글까지도..

BBS >> 설치, 운영 Q&A | 네트웍, 보안 Q&A | 일반 Q&A || 정보마당 | AWS || 자유게시판 | 구인구직 || 공지사항 | 의견제시

W32.Sasser 웜 및 MS04-011 보안 업데이트

커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보

이전 주제 보기 :: 다음 주제 보기

글쓴이

메시지

천재태지서주영
카페 관리자

가입: 2003년 10월 5일
올린 글: 32

올려짐: 2004.5.04 화, 10:15 am 주제: W32.Sasser 웜 및 MS04-011 보안 업데이트

요새 한창 말썽인 웜입니다. nt 계열을 사용하시는 분은 필히 패치하세요~
다른 웜에 비해서 전파 속도는 빠르지만 상대적으로 그다지 악의적이지는 않다고 하는군요.

http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp

인용:

Security 홈 2003년 5월 2일(일)

W32.Sasser 웜 및 MS04-011 보안 업데이트

마이크로소프트는 "W32.Sasser.worm"라고 이름 붙여진 웜이 인터넷에 확산되고 있음을 확인하였습니다. 이 웜은 2004년 4월 13일에 마이크로소프트 보안 업데이트 MS04-011에서 수정된 LSASS (Local Security Authority Subsystem Service) 취약점을 공격합니다.

고객께서는 마이크로소프트 보안 게시판 MS04-011을 즉시 설치하여 웜으로부터 컴퓨터를 보호할 수 있습니다.

- MS04-011 보안 업데이트(835732) 설치하기
- 다른 보안 업데이트 한꺼번에 설치하기

Windows XP 방화벽 기능을 사용하는 고객은 이 웜이 공격하는 TCP 포트 139 공격 경로로부터 안전하게 보호되어 있습니다. 대부분의 방화벽 제품 역시 기본으로 이 공격 경로를 차단합니다.

고객께서 이미 W32.Sasser에 감염되었을 경우, 다음 방법으로 치료할 수 있습니다.

1. Windows XP의 인터넷 연결 방화벽을 설정하거나 (설정 방법: http://support.microsoft.com/default.aspx?scid=kb;ko;283673) 타사 방화벽 제품을 사용하여 네트워크 포트를 차단합니다.
2. 인터넷 연결 선을 뽑습니다.
3. 컴퓨터를 재시작하십시오. 재시작하는 데에 문제가 있을 경우, 시작 단계에서 F8을 누르고 안전 모드로 부팅하십시오.
4. Ctrl + Alt + Delete를 누릅니다.
5. [작업 관리자]를 누릅니다.
6. [프로세스] 탭을 선택합니다.
7. Ctrl 키를 누른 채로, C:\WINDOWS\avserve.exe와 C:\WINDOWS\system32\*_up.exe를 선택합니다.
8. [프로세스 끝내기]를 누릅니다. [작업 관리자] 창을 닫습니다.
9. [시작] 버튼을 누릅니다.
10. [검색] 메뉴를 선택합니다. 다음 파일을 찾아서 모두 삭제합니다.
- C:\WINDOWS\avserve.exe
- C:\WINDOWS\system32\*_up.exe
11. 다시 [시작] 메뉴에서 [실행]을 선택하고, regedit.exe를 입력합니다.
12. [확인]을 누릅니다.
13. "레지스트리 편집기"에서 다음 레지스트리 키를 선택하여 삭제합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe
14. 인터넷 연결 선을 연결합니다.
15. http://windowsupdate.microsoft.com 사이트에 접속하여 [업데이트 검색]을 실행합니다.
16. 검색 후 나타나는 주요 업데이트를 다운로드하여 설치하십시오.

http://bbs.kldp.org/viewtopic.php?t=37098

인용:

Win32/Sasser.worm.15872
다른 이름 W32/Sasser.worm, Worm.Win32.Sasser.15872
감염시위험도 3등급(위해)
확산위험도 2등급 현재 확산도 2등급
종류 웜 감염 형태 실행파일
감염 OS 윈도우 감염 경로 네트워크/보안취약점
최초 발견일 2004-04-30 국내발견일 2004-05-01
특정 활동일 특정일 활동 없음 제작국 불분명
진단 가능 엔진 2004.05.01.00 치료 가능 엔진 2004.05.01.00
※ 표기된 날짜 이후의 엔진으로 진단 및 치료가 가능합니다.

증상 - 윈도우 폴더에 avserve.exe 파일이 만들어 진다.
- TCP 445번 포트 접속 시도가 증가한다.
- TCP 1000번~2000번대와 5554번 포트가 LISTENING 상태로 된다.
- 윈도우시스템 폴더에 파일 이름이 숫자_up.exe로 된 다수의 파일이 만들어 진다.
- 감염 후 일정 시간이 지나면 CPU 사용이 100%까지 올라가며 컴퓨터 속도가 느려진다.
- 보안패치 안된 시스템이 공격 패킷을 받을 경우 에러가 발생하며 시스템이 자동 종료 될 수 있다.
내용 * 요약

Win32/Sasser.worm.15872는 MS04-011 취약점을 이용해 전파되는 웜이다. 감염된 시스템은 윈도우 폴더에 avserve.exe 파일과 윈도우 시스템 폴더에 '숫자_up.exe'로 된 파일이 생성된다. 감염 후 일정 시간이 지나면 CPU 점유율이 100%까지 올라가며 컴퓨터 속도가 느려진다. c:\win.log 파일이 생성되기도 한다.

패치 안된 시스템이 공격 패킷을 받을 때 시스템이 자동 종료될 수 있다. 동일 취약점을 이용하는 웜과 이상 패킷 공격으로 발생하는 시스템 종료를 예방하기 위해서는 반드시 MS04-011 취약점 패치해 주어야 한다.

- MS04-011 취약점(한글) 정보
- MS04-011 취약점(영문) 정보

* 확산 정도

2004년 4월 30일(외국 시간 기준)에 최초 보고되었으며 한국에는 2004년 5월 1일 오전에 최초 보고되었다. 정보를 작성하는 2004년 5월 1일 16시 53분 현재 안철수연구소는 고객으로 부터 7건의 샘플을 접수 받았다.

* 전파 경로

MS04-011 취약점을 이용해 전파된다. 웜은 임의의 IP로 접속을 시도해 상대방이 응답이 있을 경우 이상 패킷을 보낸다. 취약점이 존재하는 시스템일 경우 에러가 발생하거나 감염된다.

MS04-011 취약점을 패치하면 이 웜뿐 아니라 MS04-011 취약점을 이용한 유사 웜으로 부터 예방된다.

* LSASS 취약점 (LSASS Vulnerability - MS04-011)

MS04-011 취약점이 패치되지 않은 시스템이 공격 패킷을 받을 경우 다음과 같은 오류가 발생하며 시스템이 종료 될 수 있다.

예)

'시스템 종료

시스템을 종료하고 있습니다. 진행 중인 모든 작업을 저장하고 로그오프하십시오. 저장하지 않은 모든 변경된 내용은 손실됩니다. 시스템 종료는 NT Authority\SYSTEM에 의해 시작되었습니다.

시스템 종료 전 대기 시간 : 00:00:60

-메시지-----
시스템 프로세스
'C:\WINNT\system32\lsass.exe'이(가) 예상하지 않게 상태 코드 128(으)로 종료되었습니다. 지금 시스템을 종료하고 다시 시작할 것입니다.'

관련 취약점을 이용한 웜을 예방하기 위해서는 반드시 패치를 해야하며 패치는 다음 웹 사이트를 참고 하기 바란다.

- MS04-011 취약점(한글) 정보 및 패치 방법
- MS04-011 취약점(영문) 정보 및 패치 방법

* 실행 후 증상

웜 파일이 실행되면 윈도우 폴더에 avserve.exe 파일이 만들어 진다.
(윈도우 폴더는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:\Windows, 윈도우 NT/2000은 C:\WinNT 폴더이다. )

레지스트리에 다음 값을 추가해 윈도우 시작시 자동으로 실행되도록 한다.
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
에 avserve.exe 키로 웜 파일 등록 (예: C:\WINNT\avserve.exe)

윈도우 시스템 폴더에 '숫자_up.exe' 이름의 웜 파일이 만들어 진다.
(윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.)

예)
- 18572_up.exe
- 25513_up.exe
- 28763_up.exe
- 29069_up.exe
- 29982_up.exe
- 4717_up.exe
- 9337_up.exe 등

다른 시스템을 감염 시키기 위해 임의의 IP의 TCP 445번 포트로 접속을 시도한며 여러 포트를 'LISTENING' 상태로 열어둔다.

일정 시간이 지나면 CPU 사용이 100%까지 올라가며 컴퓨터 속도가 매우 느려진다. 이때 웜 프로세스(avserve.exe)를 종료하면 정상적으로 돌아온다.

* 사용포트

이 웜에 감염되면 TCP 1000번~2000번대 포트를 'LISTENING' 상태로 열어두며 임의로 선택된 IP의 TCP 455번 포트로 접속을 시도한다. TCP 5554번, 9996번 포트도 사용된다.

예) 감염된 시스템에서 NETSTAT -AN으로 확인한 경우
( 주 : IP 주소는 달라지며 일부는 xx로 대체했음 )

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1031 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1032 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1034 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1035 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1036 0.0.0.0:0 LISTENING

~~ 중 략 ~~

TCP 0.0.0.0:2968 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2969 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2970 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2971 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2972 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2973 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2974 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5554 0.0.0.0:0 LISTENING
TCP 192.168.100.2:139 0.0.0.0:0 LISTENING
TCP 192.168.100.2:2865 xx.202.222.247:445 SYN_SENT
TCP 192.168.100.2:2866 3.xxx.142.75:445 SYN_SENT
TCP 192.168.100.2:2867 192.168.183.xxx:445 SYN_SENT
TCP 192.168.100.2:2868 192.168.122.xxx:445 SYN_SENT
TCP 192.168.100.2:2869 192.1.151.xx:445 SYN_SENT
TCP 192.168.100.2:2870 192.171.17.xxx:445 SYN_SENT
TCP 192.168.100.2:2871 192.168.253.xxx:445 SYN_SENT

~~ 중 략 ~~

TCP 192.168.100.2:2972 xx.205.xxx.180:445 SYN_SENT
TCP 192.168.100.2:2973 192.xxx.41.36:445 SYN_SENT
TCP 192.168.100.2:2974 192.123.195.xxx:445 SYN_SENT
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 192.168.100.2:137 *:*
UDP 192.168.100.2:138 *:*
UDP 192.168.100.2:500 *:*

* 이 정보는 2004년 5월 1일 16시 40분에 최초 작성되었으며 2004년 5월 1일 20시 40분에 최종 수정되었다.
치료방법 * V3Pro 2002 Deluxe / V3Pro 2004 / V3Net for Windows Server 사용자

1. 사용 제품을 실행 후 [업데이트] 버튼이나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다.

2. 검사할 드라이브를 지정하고 검사를 시작한다.

3. 프로세스에서 실행중인 'Win32/Sasser.worm.15872'이 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다.

4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다.

5. 필요시 추가/변경 된 레지스트리 값은 자동수정된다.

참고사항 * 취약점 검사

마이크로소프트사는 MBSA(Microsoft Baseline Security Analyzer)를 통해 시스템 혹은 내부 네트웍에 접속된 시스템의 취약점을 검사해주는 프로그램을 제공하고 있다.
시스템에 어떤 취약점이 있는지 확인해 적절한 조치를 취해 해킹 및 악성코드를 예방 할 수 있다.

MBSA에 대한 내용은 아래 사이트를 참고하면 된다.

- http://www.microsoft.com/korea/technet/security/tools/Tools/MBSAhome.asp (한글)
- http://www.microsoft.com/technet/security/tools/mbsahome.mspx (영어)

* 윈도우 보안 업데이트 방법

윈도우 취약점을 이용해 전파되는 바이러스, 웜, 트로이목마 등을 예방하기 위해서는 최신 윈도우 업데이트를 해야한다.

1. 인터넷이 연결이 되어있는 상태에서 'Windows Update' 사이트에 접속한다.
(윈도우 98/2000 의 경우 [시작] → [Windows Update], 윈도우 XP의 경우 [시작] -> [모든 프로그램(P) -> [Windows Update]]
혹은 인터넷 익스플로러 실행 -> 메뉴에서 '도구' -> 'Windows Update(U)'나 인터넷 익스플로어에서 http://windowsupdate.microsoft.com로 직접 접속 가능)

2. 윈도우 업데이트 페이지로 연결 후 [보안경고] 창이 뜨면 [예] 버튼을 선택한다. 단, 한번이라도 윈도우를 업데이트 한 사용자는 [보안경고] 창이 뜨지 않는다.

3. [업데이트 검색]을 선택해 필요한 업데이트를 찾는다.

4. [업데이트 검색]이 완료되면 업데이트 가능한 "중요 업데이트 및 서비스 팩", 사용 윈도우용 업데이트, "드라이버 업데이트" 수가 출력된다.

5. 업데이트를 위해 [업데이트 검토 및 설치]를 선택 하면 전체 업데이트 목록이 나온다. [지금 설치]를 눌러 업데이트를 시작한다.

6. 서비스 팩 등은 다른 업데이트와 동시에 설치 할 수 없다. 서비스 팩 등을 설치 후 반드시 다른 업데이트도 설치해야 한다. [확인]을 선택해 계속 진행한다

7. 사용자 동의를 구하는 창이 뜰 경우 [확인]을 눌러 진행한다.

8. 설치가 완료되면 시스템을 재시작 해야 하는 경우가 있다. [확인]을 눌러 시스템을 재부팅 한다.

9. 재부팅 후 1번 과정을 반복해 [업데이트 검색] 후 현재 사용 가능한 중요 업데이트가 없을 때까지 업데이트를 반복한다

* MS04-011 취약점 공격 패킷 차단 전용 백신

안철수연구소는 MS04-011 취약점 공격 패킷을 차단하는 전용 백신을 제공하고 있다. 패치를 적용할 수 없는 시스템이나 패치 중 이상 패킷 공격으로 시스템이 종료 되는 경우 사용할 수 있다.

주의 : 전용백신으로 차단할 수 없는 취약점 공격 패킷이 존재할 수 있다. 이 경우 예방 할 수 없다.

- 전용백신 페이지

_________________
안녕하세요? 반갑습니다.

위로

이전 글 표시:

	커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보	시간대: GMT + 9 시간(한국)
페이지 1 중 1

새로운 주제를 올릴 수 있습니다
답글을 올릴 수 있습니다
주제를 수정할 수 없습니다
올린 글을 삭제할 수 없습니다
투표를 할 수 없습니다