|
|
|
|
|
|
|
[±ä±Þ] ¹ÙÀÌ·¯½º °æ°í ÆÐÄ¡ ÇϽñ⠹ٶø´Ï´Ù. |
|
|
|
µî·Ï |
2003/08/13 00:00:00 |
Á¶È¸ |
52132 |
|
À̸§ |
°ü¸®ÀÚ |
̵̧ |
6864 |
|
|
|
¾È³çÇϼ¼¿ä ?
¾ßÈ£Åؽº ´ã´çÀÚ ÀÔ´Ï´Ù.
¾îÁ¦ºÎÅÍ À©µµ¿ì 2000 À» »ç¿ëÇϽô °í°´ÀÇ PC°¡ ¾ßÈ£Åؽº¿¡ ·Î±×ÀÎÀÌ µÇÁö ¾Ê°í,
´Ù¿î·Îµå°¡ µÇÁö ¾Ê´Â µî ¹ÙÀÌ·¯½º ·Î ÀÎÇÑ ÇÇÇØ°¡ ¼ÖÃà ÇÏ°í ÀÖ½À´Ï´Ù...
º» °øÁö¸¦ º¸½Ã´Â ȸ¿ø´Ôµé ²²¼´Â ±ä±Þ ÆÐÄ¡¸¦ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® »ç¿¡¼ ¹ÞÀ¸½Å ´ÙÀ½,
¸®ºÎÆà ÇϽŠÈÄ »ç¿ë ÇØ º¸½Ã±â ¹Ù¶ø´Ï´Ù...
¹®ÀÇ »çÇ×ÀÌ ÀÖÀ¸½Ã¸é, °í°´¼¾ÅÍ·Î ¹®ÀÇ ÇÏ¿© Áֽñ⠹ٶø´Ï´Ù...
°¨»çÇÕ´Ï´Ù...
|
|
Win32/Blaster.worm.6176 |
|
´Ù¸¥ À̸§ |
W32.Blaster.Worm, W32/Lovsan.worm, Worm.Win32.Blaster.6176, Win32.HLLW.Lovesan.11296, WORM_MSBLAST.A |
|
°¨¿°½Ã À§Çèµµ |
3µî±Þ(À§ÇØ)
|
|
È®»ê À§Çèµµ |
2µî±Þ
|
ÇöÀç È®»êµµ |
1µî±Þ
|
|
Á¾·ù |
¿ú |
°¨¿° ÇüÅ |
½ÇÇàÆÄÀÏ |
|
°¨¿° OS |
À©µµ¿ì |
°¨¿° °æ·Î |
³×Æ®¿öÅ©/º¸¾ÈÃë¾à¼º |
|
ÃÖÃʹ߰ßÀÏ |
2003-08-11 |
±¹³»¹ß°ßÀÏ |
2003-08-12 |
|
ƯÁ¤È°µ¿ÀÏ |
1¿ù ~ 8¿ù : 16ÀÏ ÀÌÈÄ 9¿ù ~ 12¿ù : ¸ÅÀÏ |
Á¦ÀÛ±¹ |
ºÒºÐ¸í |
|
Áø´Ü °¡´É ¿£Áø |
2003.08.12.00 |
Ä¡·á °¡´É ¿£Áø |
2003.08.12.00 |
|
|
¡Ø Ç¥±âµÈ ³¯Â¥ ÀÌÈÄÀÇ ¿£ÁøÀ¸·Î Áø´Ü ¹× Ä¡·á°¡ °¡´ÉÇÕ´Ï´Ù. |
|
Áõ»ó |
- 135¹ø Æ÷Æ®·Î ´Ù·®ÀÇ Æ®·¡ÇÈÀÌ ¹ß»ýÇÑ´Ù.
- °æ¿ì¿¡ µû¶ó ¿¡·¯Ã¢ÀÌ ¶ß°Å³ª ½Ã½ºÅÛÀÌ ÀçºÎÆõDZ⵵ ÇÑ´Ù.
- °¨¿°µÈ ½Ã½ºÅÛÀÇ ³¯Â¥¿¡ µû¶ó ƯÁ¤ »çÀÌÆ®¸¦ °ø°ÝÇÑ´Ù.
|
|
³»¿ë |
Win32/Blaster.worm.6176Àº 2003³â 8¿ù 12ÀÏ »õº®(Çѱ¹ ½Ã°£ ±âÁØ)¿¡ ¹ß°ßµÇ¾úÀ¸¸ç 8¿ù 12ÀÏ ¾ÆħºÎÅÍ ¸¹Àº »ùÇÃÀ» Á¢¼ö¹Þ¾Ò´Ù.
À©µµ¿ì NT °è¿ ( NT/2000/XP/2003 )ÀÇ RPC DCOM Ãë¾à¼ºÀ» ÀÌ¿ëÇØ ÀüÆĵǴ ¿úÀ¸·Î À©µµ¿ì 9X °è¿(À©µµ¿ì 95/98/Me)´Â ¿µÇâÀ» ¹ÞÁö ¾Ê´Â´Ù.
RPC DCOM Ãë¾à¼ºÀ» °¡Áø À©µµ¿ì ½Ã½ºÅÛ¿¡¼ °¨¿°µÇ¸ç °¨¿°µÈ ½Ã½ºÅÛÀº 135¹ø Æ÷Æ®(epmap)ÀÇ Æ®·¡ÇÈÀÌ ÇöÀúÇÏ°Ô Áõ°¡ÇÏ¸ç ½Ã½ºÅÛ¿¡ µû¶ó ÀçºÎÆÃÀ̳ª ¿¡·¯ ¸Þ½ÃÁö°¡ ¶ß´Â °æ¿ì°¡ ÀÖ´Ù.
¿úÀº À©µµ¿ì NT °è¿ÀÇ Ãë¾à¼ºÀ» ÀÌ¿ëÇϹǷΠÆÐÄ¡¸¦ ÇÏÁö ¾ÊÀ¸¸é ±Ùº»ÀûÀ¸·Î °¨¿°À» ¸·À» ¼ö ¾ø´Ù.
- ÀüÆÄ ¹æ¹ý
¿ú ÆÄÀÏÀÌ ½ÃÀÛµÇ¸é ·£´ýÇÑ IP ¾îµå·¹½º¸¦ ¼±ÅÃÇØ ÁÖ¼Ò¸¦ Çϳª¾¿ Áõ°¡½ÃÅ°¸ç RPC DCOM Ãë¾à¼ºÀÌ ÀÖ´Â ½Ã½ºÅÛ(135¹ø Æ÷Æ® ÀÌ¿ë)À» ã¾Æ °ø°Ý ÇÑ´Ù.
°ø°Ý½Ã½ºÅÛÀº Ãë¾à¼ºÀ» °¡Áø ½Ã½ºÅÛÀÇ ¸í·É ÇÁ·ÒÇÁÆ®¸¦ ¾òÀ» ¼ö ÀÖ°í TFTP ÇÁ·Î±×·¥(TFTP.EXE)À» ÀÌ¿ëÇØ ¿ú ÆÄÀÏ(MSBLAST.EXE)À» º¹»çÇÏ°í ¿ú ÆÄÀÏÀ» ½ÇÇàÇÑ´Ù. À̶§ °ø°Ý¹ÞÀº ½Ã½ºÅÛÀº 4444¹ø Æ÷Æ®°¡ ¿Àǵǰí ÀÌ Æ÷Æ®¸¦ ÀÌ¿ëÇÏ¿© ¿ú ÆÄÀÏÀ» Àü¼Û¹Þ´Â´Ù.
4444¹ø Æ÷Æ®´Â °¨¿°µÇ´Â ¼ø°£¸¸ ¿ÀǵǹǷÎ, NETSTAT ¸í·ÉÀ» ÀÌ¿ëÇؼ È®ÀÎÇϱâ´Â Èûµé´Ù.
½Ã½ºÅÛ¿¡ µû¶ó ½Ã½ºÅÛÀÌ ÀçºÎÆõǰųª ¿¡·¯ ¸Þ½ÃÁöâÀÌ ¶ß±âµµ ÇÑ´Ù. ¿¡·¯ ¸Þ½ÃÁöâÀÌ ¶á ½Ã½ºÅÛÀº Ž»ö±â¿¡¼ "ÆÄÀÏ º¹»ç"(Ctrl+C)³ª "ºÙ¿©³Ö±â(P)"(Ctrl+P) µîÀÇ ¸í·ÉÀÌ ½ÇÇàµÇÁö ¾Ê´Â´Ù.
- ½ÇÇà ÈÄ Áõ»ó
¿ú ÆÄÀÏÀÌ ½ÇÇàµÇ¸é ´ÙÀ½ ·¹Áö½ºÆ®¸®¿¡ ¿ú ÆÄÀÏÀ» µî·ÏÇØ À©µµ¿ì ½ÃÀ۽à ÀÚµ¿ ½ÇÇàµÇ°Ô ÇÑ´Ù.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run ¿¡ Windows auto update ¿¡ msblast.exe µî·Ï
ÀÌÈÄ ½Ã½ºÅÛ ³¯Â¥¸¦ °Ë»çÇØ ¸Å´Þ 16ÀÏ ÀÌÈÄ È¤Àº ¸Å³â 9¿ù ÀÌÈÄÀÎÁö °Ë»çÇÑ´Ù.
Áï, 1¿ù~8¿ùÀº ¸Å¿ù 16ÀÏ ÀÌÈÄ, 9¿ù~12¿ù¿¡´Â ¸ÅÀÏ Windowsupdate.com À» °ø°ÝÇÏ´Â Áõ»óÀÌ ÀÖ´Ù. µû¶ó¼ 2003³â 8¿ù 16ÀϺÎÅÍ Ã¹ °ø°ÝÀÌ ½ÃÀ۵ȴÙ.
°¨¿°µÈ ½Ã½ºÅÛÀº ¿ª½Ã ´Ù¸¥ ½Ã½ºÅÛÀ» °¨¿°½ÃŲ´Ù.
°¨¿°µÈ ½Ã½ºÅÛÀ» NETSTAT ·Î È®ÀÎÇÏ¸é ¿©·¯ Æ÷Æ®°¡ ¿·Á ÀÖÀ½À» ¾Ë ¼ö ÀÖ´Ù. ÇöÀç±îÁö ÀÌ Æ÷Æ®ÀÇ ¸ñÀûÀº ¾Ë·ÁÁöÁö ¾Ê¾Ò´Ù
¿©·¯ IP¿¡ 135¹ø Æ÷Æ®·Î SYN_SENT ÆÐŶÀ» º¸³»´Â °É º¼ ¼ö ÀÖ´Ù.
ÀÌ´Â Ãë¾à¼ºÀÌ Á¸ÀçÇÏ´Â ½Ã½ºÅÛÀ» ã±â À§ÇÑ °úÁ¤ÀÌ´Ù.
|
|
Ä¡·á¹æ¹ý |
- ±ÝÀÏ ±ä±Þ¾÷µ¥ÀÌÆ®µÈ ±ä±Þ¿£Áø(2003.08.12.00)À¸·Î ¾÷µ¥ÀÌÆ®ÇÏ¿© Áø´Ü/Ä¡·á(»èÁ¦)ÇÑ´Ù.
- ½Ã½ºÅÛÀÌ ¸îºÐ¸¶´Ù ÀçºÎÆõǴ Çö»óÀÌ ¹ß»ýÇÏ´Â ½Ã½ºÅÛ¿¡¼´Â ´ÙÀ½°ú °°ÀÌ ¼öµ¿Á¶Ä¡ÇÑ´Ù.
1. ³×Æ®¿öÅ© ¼±À» »Ì°í À©µµ¿ì ºÎÆýà [F8] À» ´·¯ "¾ÈÀü¸ðµå"·Î ºÎÆÃÇÑ´Ù.
2. "À©µµ¿ì ÀÛ¾÷ °ü¸®ÀÚ" ( Ctrl+Alt+Del ¸¦ µ¿½Ã¿¡ ´©¸¥ ÈÄ ÀÛ¾÷ °ü¸®ÀÚ(T) ¼±ÅÃ)¸¦ ¼±Åà ÈÄ ÇÁ·Î¼¼½º¿¡¼ MSBlast.exe ÆÄÀÏÀ» ã¾Æ Á¾·á ½ÃŲ´Ù.
3. Ž»ö±â¿¡¼ TFTP.EXE ÆÄÀÏÀÇ Ã£¾Æ À̸§À» ´Ù¸¥ À̸§ ( ¿¹. TFTP.EX_ )À¸·Î º¯°æÇÑ´Ù. ÀÌ´Â ¿úÀÌ TFTP.EXE ¸¦ ÅëÇØ ÀüÆĵǹǷΠTFTP.EXE ÀÇ ½ÇÇàÀ» ¸·À¸¸é ¿úÀÌ ÇØ´ç ½Ã½ºÅÛÀ¸·Î ÀüÆĵǴ °úÁ¤À» ¸·À» ¼ö ÀÖ´Ù. ÇÏÁö¸¸, RPC DCOM Ãë¾à¼º °ø°ÝÀÚü¸¦ ¸·À» ¼ö´Â ¾ø´Ù.
4. Ž»ö±â¿¡¼ MSBLAST.EXE ÆÄÀÏÀ» ã¾Æ »èÁ¦ÇÑ´Ù. º¸±â(V) -> Ž»ö â(E) -> °Ë»ö(S)ÀÇ ÆÄÀÏ ¹× Æú´õ ã±â¿¡¼ MSBLAST.EXE ¼±ÅÃÇÑ´Ù.
5. ãÀº MSBLAST.EXE ÆÄÀÏ »èÁ¦À» »èÁ¦ÇÑ´Ù.
6. °¨¿°µÇÁö ¾ÊÀº ½Ã½ºÅÛ¿¡¼ »ç¿ëÇÏ´Â OS ¹öÀü¿¡ ¸Â´Â ´ÙÀ½ ÆÐÄ¡¸¦ ´Ù¿î ¹Þ¾Æ Ç÷ÎÇÇ µð½ºÅ© µî¿¡ ´ã¾Æ º¹»çÇÑ´Ù.
- Windows 2000 (Çѱ۹öÀü)
[MS»ç¿¡¼ ¹Þ±â] [AhnLab¿¡¼ ¹Þ±â]
- Windows 2000 (¿µ¹®¹öÀü)
[MS»ç¿¡¼ ¹Þ±â] [AhnLab¿¡¼ ¹Þ±â]
- Windows XP (Çѱ۹öÀü)
[MS»ç¿¡¼ ¹Þ±â] [AhnLab¿¡¼ ¹Þ±â]
- Windows XP (¿µ¹®¹öÀü)
[MS»ç¿¡¼ ¹Þ±â] [AhnLab¿¡¼ ¹Þ±â]
- Windows NT 4.0 (Çѱ۹öÀü)
[MS»ç¿¡¼ ¹Þ±â] [AhnLab¿¡¼ ¹Þ±â]
- Windows NT 4.0 (¿µ¹®¹öÀü)
[MS»ç¿¡¼ ¹Þ±â] [AhnLab¿¡¼ ¹Þ±â]
- Windows NT Server 4.0, Terminal Server Edition (¿µ¹®¹öÀü)
[MS»ç¿¡¼ ¹Þ±â] [AhnLab¿¡¼ ¹Þ±â]
- Windows Server 2003 (¿µ¹®¹öÀü)
[MS»ç¿¡¼ ¹Þ±â] [AhnLab¿¡¼ ¹Þ±â]
7. °¨¿°µÈ ½Ã½ºÅÛÀ» ÀçºÎÆÃÇÑ ÈÄ Ç÷ÎÇÇ µð½ºÅ©¿¡ ´ãÀº ÆÐÄ¡¸¦ Çϵåµð½ºÅ©·Î º¹»çÇÑ´Ù.
8. º¹»çÇÑ ÆÐÄ¡ÆÄÀÏÀ» ½ÇÇàÇÏ¿© ÆÐÄ¡¸¦ Àû¿ëÇÑ ÈÄ ³×Æ®¿öÅ© ¼±À» ²È°í ÀçºÎÆà ÇÑ´Ù.
9. 3¹ø¿¡¼ º¯°æÇÑ ÆÄÀÏÀÇ À̸§À» ´Ù½Ã TFTP.EXE ·Î ¼öÁ¤ÇÑ´Ù.
|
|
Âü°í»çÇ× |
Microsoft RPC ¹öÆÛ ¿À¹öÇ÷οì Ãë¾àÁ¡ ÀÚ¼¼ÇÑ º¸±â |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(ÁÖ)ºñÅõºñ°ÔÀÌÆ®, »ç¾÷ÀÚ¹øÈ£ : 528-86-00292, ´ëÇ¥ : ·ù¿øÁø
ÀÎõ ºÎÆò±¸ ûõµ¿ 424-9 ºÎÆòÅ×Å©³ëÆÄÅ©M2 1116È£
±¹¼¼Ã» ´ë¿ë·® ¿¬°è»ç¾÷ÀÚ ½ÂÀιøÈ£ : 41000120
°í°´¼¾ÅÍ : 070-8245-0460, FAX : 070-8220-3647
Copyright 2001 ~ 2019 B2BGATE Inc. All rights reserved.
|
|
|
|