공지사항
보안패치
결제방법안내
서비스 이용약관
개인정보취급방침
자주묻는질문
기술가이드
문의하기
제 목 [C급] SPYBOT.S 웜 예보
작성자 하나로호스팅 ( hosting@hhosting.co.kr ) 등록정보 2004-01-26 00:00:00 조회수 33040
☆ 개요

SPYBOT.S 웜은 메일의 첨부파일을 실행할 경우 감염되며, MS RPC 취약점을 이용해서도 전파된다.
1월 20일 국외에서 처음 발견되었으며 1월 20일 현재, 아직 국내에는 유입되지 않은 것으로 파악된다.
웜에 감염되면 TCP 135 스캔을 통해 취약점이 존재하는 다른 시스템을 찾게되며, 31031 포트를 이용
하는 백도어를 오픈하여 IRC 서버에 접속한다.


☆ 전파방법

□ 메일을 이용한 전파

- 보 낸 이 : <조작된 이메일 주소>
- 제 목 : Windows new update Protect RPC Worms
- 본 문 : This exclusive product includes protection from new vulnerabilities from new viruses RPC.
Worm and Nbt.Worm.
- 첨부파일: setup.exe

□ 취약점을 이용한 전파

MS RPC 취약점(MS03-026)을 이용해 전파되며, 취약점에 대한 자세한 내용은 아래를 참고한다.

RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제


☆ 피해증상

□ 바이러스의 전파를 위해 임의의 IP주소를 생성한 후, TCP 135 포트를 이용한 RPC 취약점 공격 트래픽을 발생시킨다.

□ 웜에 감염되면 31031 포트를 사용하는 백도어가 오픈되며, 백도어를 이용해 다음과 같은 일을 수행한다.
- 키로거
- ICMP 패킷을 이용한 Flood 공격수행
- 인터넷에서 파일다운로드
- IRC Flood

□ 웜이 실행되면 Windows 시스템 폴더에 아래의 파일을 생성한다.
- Nvcpl.exe
- rswpscfg.dll
※ Windows 시스템 폴더
· Windows 2000/NT : C:WINNTSystem32
· Windows XP : C:WindowsSystem32
· Windows 95/98/ME : C:WindowsSystem

□ Windows Temp 폴더에 확장자가 .TXT를 갖고 파일명이 랜덤한 파일들을 생성한다.

□ 재부팅 시에도 웜이 동작하기 위해 다음의 내용이 레지스트리에 추가된다.
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
NvCpl32Deamon = “nvcpl.exe”
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
NvCpl32Deamon = “nvcpl.exe”


☆ 감염시 치료방법

□ 수동치료방법

① 안전모드로 부팅한다.
② 아래의 레지스트리 키 값을 삭제한다.

- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
NvCpl32Deamon = “nvcpl.exe”
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
NvCpl32Deamon = “nvcpl.exe”

□ 백신프로그램을 최신버전으로 업데이트한 다음 검사하여 치료한다.


☆ 예방법

출처가 불분명한 메일은 읽지 말고 바로 삭제해야 하며, MS RPC 취약점에 대한 패치를 설치해야 한다.


☆ 참조사이트

□ 트랜드마이크로 : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SPYBOT.S


총 173 건
번호 제목 등록일 조회수
11 [하나로호스팅-보안공지] Win32.zotob 취약점 대응 매뉴얼 안내 2005-08-18 29122
10 [보안긴급상황] Zotob 웜 및 변종 확산 2005-08-16 29559
9 [관제센터]보안권고문<중,일 사이버전에 따른 침해사고 예방> 2005-08-11 28477
8 JAVA기반 웹서버 업그레이드 실시 2005-07-26 28915
7 MS윈도우 보안패치 권고사항(2005.6.15) 2005-06-16 29465
6 홈페이지 개발 보안 가이드 배포 2005-05-19 28853
5 [ : 보안권고문 ] 홈페이지 대량 변조 발생에 따른 ‘주의’ 경보발령 2005-01-07 30139
4 [긴급]제로보드나 KorWeblog 사용 업체는 신속패치 요망 2005-01-04 29019
=> [C급] SPYBOT.S 웜 예보 2004-01-26 33040
2 MDAC 함수의 버퍼 오버런으로 인한 코드 실행 문제(MS04-003) 2004-01-26 29200
1 [긴급]Linux Kernel privilege escalation security 취약점 공지 2003-12-12 29641
  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  
1