공지사항
보안패치
결제방법안내
서비스 이용약관
개인정보취급방침
자주묻는질문
기술가이드
문의하기
제 목 [하나로호스팅-보안공지] Win32.zotob 취약점 대응 매뉴얼 안내
작성자 하나로호스팅 ( hosting@hhosting.co.kr ) 등록정보 2005-08-18 17:01:00 조회수 27145
Win32.zotob vulnerability
Original release date: 08/16/2005
Last revised: --
Source: US-CERT
Systems Affected
o "플러그 앤 플레이의 취약점(MS05-039)" 취약점을 패치하지 않은 윈도우즈 2000 시스템
o 이메일로 전파되는 일부 변종은 대부분의 윈도우즈 시스템(윈도우즈 2000, NT, XP 등)이
해당됨
Overview
zotob 웜은 윈도우즈 시스템의 최신 보안취약점인 "플러그 앤 플레이의 취약점(MS05-039)"을
이용하여 전파되는 웜으로 국내에 유입 시 피해발생이 예상되오니 주의하시기 바랍니다.
I.Description
o 윈도우즈 "시스템폴더"에 아래의 파일을 복사
- botzor.exe (변종 B:csm.exe ), HAHA.EXE, 2pac.txt
※ 시스템 폴더 윈도우 95/98/ME : C:WindowsSystem
윈도우 NT/2000 : C:WinNTSystem32
윈도우 XP : C:WindowsSystem32
o 레지스트리 변경 및 추가 (윈도우 재시작시 자동실행 설정)
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun
WINDOWS SYSTEM = "botzor.exe"(변종 B:csm.exe)
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRunServices
WINDOWS SYSTEM = "botzor.exe"(변종 B:csm.exe)
o 윈도우즈 방화벽 기능을 중지시킨다.
o 특정 IRC서버에 TCP/8080 포트를 통해 접속되고 감염시스템에 Tcp/8888 포트가 열려
파일 실행 및 삭제, 메일발송 등의 악의적인 기능이 수행될 수 있음
o 웜 원본 파일 전파를 위한 ftp 서비스(tcp/33333 포트)를 오픈하고,
타 시스템의 공격에 성공하면 웜 원본파일이 이 서비스를 통해 발송된다.
II. Solution
1. 수동 해결 방법
① 안전모드로 부팅
② 웜이 생성한 레지스트리 삭제
- 레지스트리 위치
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun
WINDOWS SYSTEM = "botzor.exe"(변종 B:csm.exe)
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRunServices
WINDOWS SYSTEM = "botzor.exe"(변종 B:csm.exe)
③ 웜 파일 삭제
- 위치 : 시스템 폴더
- 파일명: botzor.exe(csm.exe), HAHA.EXE
④ 변조된 hosts 파일 복구
시스템폴더driversetchosts 파일을 텍스트 에디터로 오픈하여
loopback(127.0.0.1)으로 설정되어 있는 도메인 중 localhost 를 제외한 나머지
도메인들을 제거하고 저장한다.
⑤ 재 부팅
2. 자동 해결 방법
O 네트워크 관리자
- 바이러스 월의 패턴이 최신으로 업데이트 되었는지 확인한다
- diabl0.turkcoders.net(wait.atillaekici.net)도메인 쿼리 트래픽을 차단하도록 한다
O 사용자
- - 최신으로 윈도우즈를 패치한다.
- 출처가 불분명한 메일이나 웜 전파 메일로 의심되는 메일은 읽지 않는다.
- 백신 사용자는 최신 패턴 업데이트 후 검사 및 치료 한다
참고 사이트
O http://www.krcert.or.kr/intro/notice_read.jsp?NUM=87&menu=1
O http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
O http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.a.html
O http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.b.html
총 173 건
번호 제목 등록일 조회수
=> [하나로호스팅-보안공지] Win32.zotob 취약점 대응 매뉴얼 안내 2005-08-18 27145
10 [보안긴급상황] Zotob 웜 및 변종 확산 2005-08-16 27631
9 [관제센터]보안권고문<중,일 사이버전에 따른 침해사고 예방> 2005-08-11 26540
8 JAVA기반 웹서버 업그레이드 실시 2005-07-26 27065
7 MS윈도우 보안패치 권고사항(2005.6.15) 2005-06-16 27331
6 홈페이지 개발 보안 가이드 배포 2005-05-19 26935
5 [ : 보안권고문 ] 홈페이지 대량 변조 발생에 따른 ‘주의’ 경보발령 2005-01-07 28128
4 [긴급]제로보드나 KorWeblog 사용 업체는 신속패치 요망 2005-01-04 26255
3 [C급] SPYBOT.S 웜 예보 2004-01-26 30976
2 MDAC 함수의 버퍼 오버런으로 인한 코드 실행 문제(MS04-003) 2004-01-26 27282
1 [긴급]Linux Kernel privilege escalation security 취약점 공지 2003-12-12 27696
  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  
1