□ 개요
o MS08-067 취약점[1, 2]을 악용하는 악성코드에 의한 국내 일부 인터넷 사용자 PC의 인터넷 접속
장애 사례가 발생하여 주의가 요구됨
※ MS08-067 취약점은 윈도우 Server Service에 존재하는 원격코드실행 취약점으로 자세한
내용은 보안공지[2]를 참조
□ 악성코드 전파 및 피해 증상
o MS08-067 업데이트[3]를 설치하지 않은 시스템을 스캔하여 악성코드에 감염시킴
o 전송된 악성코드는 시스템 폴더에 복사 후에 서비스로 등록되어 자동 실행
o 임의의 IP로 과도한 스캔 패킷을 발생시켜 HTTP, FTP등 TCP 기반의 통신 장애 유발
□ 조치 방법
o 근본 조치 방법
- 악성코드 치료 백신 이용
- MS08-067 보안업데이트[3] 설치
※ 현재까지 나온 모든 보안업데이트 적용 권고
- 윈도우 자동 업데이트 설정
시작 → 제어판 → 자동 업데이트 → 자동(권장) 체크 → 적용 → 확인
o 임시 조치 방법
- 윈도우 시스템 폴더에서 파일 사이즈가 62,976 byte 이고, md5 값이 "d9cb288f317124a0e63
e3405ed290765"인 랜덤.dll 파일을 찾아서 삭제
① 윈도우 콘솔(명령프롬프트) 창 열기
윈도우 시작 버튼 클릭 → 실행 클릭 → cmd 입력 후 확인
② 윈도우 시스템 폴더로 이동
콘솔창에 다음 명령을 입력 후 엔터
> C:\Winnt\System32(Windows NT/2000)
> C:\Windows\System32(Windows XP)
③ 파일 사이즈가 62,976 byte인 파일 찾기
> dir | findstr "62,976"
※ 파이프 문자 "|"의 입력은 Shift키 + ₩키
④ md5 값 조회
md5값 검사하는 도구[링크 참고]를 C:\Windows\System32에 다운로드 후 압축해제 후에 아래 명령으로
③에서 열거된 파일을 대상으로 md5값을 하나씩 조회함
> C:\Windows\System32\md5sums.exe [파일명]
※ 파일 사이즈가 62,976 byte인 정상 파일이 있을 수 있으므로
md5값이 "d9cb288f317124a0e63e3405ed290765"인 악성코드 파일을 찾아서 메모
⑤ 시스템을 안전모드로 재부팅 (부팅 시 "F8"을 눌러 "안전모드" 선택)
⑥ 윈도우 시스템 폴더로 이동하여 ④에서 확인된 파일 삭제
> cd C:\Winnt\System32 또는 cd C:\Windows\System32
> del [파일명]
※ 다른 정상 파일을 삭제 시 시스템이 오동작할 수 있으므로 주의
⑦ 레지스트리 편집기를 실행
윈도우 시작 버튼 클릭 → 실행 클릭 → regeit 입력 후 확인
⑧ 레지스트리에서 확인된 파일명에 해당하는 서비스 검색
편집 → 찾기 → 찾을 내용에 [파일명]을 입력 후 확인
⑨ 검색된 서비스를 삭제
검색된 파일명이 존재하는 "Parameters"의 상위 경로를 선택 → 마우스 오른쪽 → 삭제
※ 다른 정상 서비스를 삭제 시 시스템이 오동작할 수 있으므로 주의
⑩ 재부팅
□ 예방 방법
o 네트워크 관리자
- 운영 중인 보안장비에서 탐지가 가능하도록 최신 룰 업데이트
- 외부로부터 TCP 139, 445 트래픽이 유입이 되지 않도록 차단하고, 기관/기업 내부
네트워크에서도 자체 검토 후 불필요한 경우 차단
o 일반 인터넷 이용자
- 윈도우에서 최신 보안업데이트 설치 및 개인방화벽 사용
- 백신 사용 및 윈도우 보안업데이트 생활화
※ ISP에서는 인터넷 가입 고객에게 필히 최신 보안업데이트를 설치하도록 안내,불필요한 445
포트는 자체 검토 후 차단
□ 참조사이트
[1] http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx
[2] http://www.krcert.or.kr/secureNoticeView.do?num=288&seq=-1
[3] http://www.pc-tools.net/win32/md5sums/ |
