보안관련 긴급상황이 발생하여 혹시나 관련된 상황에 계신 분들이나 또는 관련 장비를 관리하고 계시다면 주의를 부탁 드리겠습니다. 혹시나 해당 문제점이 발생되었다면 연락 부탁 드리겠습니다.
MS05-039 (PnP) 취약점을 공격하는 Zotob 및 그 변종, 그리고 또다른 웜인 Spybot 변종이 발견되었습니다. 이 취약점과 관련해서는 Windows 2000만 영향을 받습니다. 하지만 다양한 취약점을 공격하도록 수시로 변종이 나타날 수 있습니다.
대부분의 안티바이러스 패턴 파일이 업데이트되어 이들 악성 코드를 제거할 수 있습니다. 수동으로 감염 여부를 확인하려면 다음 파일의 존재 및 네트워크 포트 사용 여부로 알 수 있습니다.
Win32/Zotob.A: 파일 C:WinntSystem32�otzor.exe, 네트워크 TCP 8080, 8888, 33333 포트
Win32/Zotob.B: 파일 C:WinntSystem32cms.exe, 네트워크 TCP 8080, 8888, 33333 포트
Win32/Spybot: 파일 C:WinntSystem32pnpsrv.exe, 네트워크 TCP 5232 포트
앞으로 계속 나타날 변종을 수동으로 추적하기는 쉽지 않으므로 안티바이러스 제품으로 치료하시기를 권장합니다만, 수동 제거 방법을 포함하여 대처 방법은 다음과 같습니다.
1. 아직 감염되지 않았다면
A. 방화벽에서 TCP 139와 445 포트를 차단 (가능하면 inbound 방향 모든 포트 차단)
B. 자동 업데이트나 Windows Update를 통해서 MS05-039를 포함하여 모든 보안 업데이트 설치 (시스템 재시작 필요)
C. 사용중인 안티바이러스(백신) 제품의 패턴을 최신 파일로 업데이트
2. 이미 감염된 것으로 의심이 된다면
A. 방화벽에서 TCP 139와 445 포트를 차단
B. 자동 업데이트나 Windows Update를 통해서 MS05-039를 포함하여 모든 보안 업데이트 설치 (시스템 재시작 필요)
C. 사용중인 안티바이러스(백신) 제품의 패턴을 최신 파일로 업데이트
D. 인터넷 연결 케이블 분리
E. 악성 소프트웨어 제거
- 안티바이러스 제품을 통해 제거 (추천 방법)
또는
- 수동으로 제거
1) 작업 관리자에서 웜의 프로세스 중단
2) 탐색기에서 웜의 파일 삭제
3) 레지스트리 편집기에서 웜의 레지스트리 항목 삭제
4) host 파일 원상 복구 또는 삭제
F. 시스템 재시작
G. 인터넷 연결 케이블 다시 연결
위 내용 중 2.E.1)~2.E.4) 내용은 변종에 따라 달라집니다.
이번 문제와 관련된 Windows 2000용 보안 업데이트(패치)를 수동으로 다운로드할 수 있는 곳은 다음과 같습니다.
http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=E39A3D96-1C37-47D2-82EF-0AC89905C88F
MS 한국어 보안 웹 사이트에 관련 정보가 링크되어 있습니다.
http://www.microsoft.com/korea/security/
"RestrictAnonymous = 2 설정" 방법을 사용할 경우, 오히려 이 설정으로 인한 문제가 발생하지 않도록 유의하여 주십시오.
Microsoft Security Advisory (899588)
http://www.microsoft.com/technet/security/advisory/899588.mspx
|
