번호 | 제목 | 등록일 | |
---|---|---|---|
32 | [하나로호스팅-보안공지] Win32.zotob 취약점 대응 매뉴얼 안내 | ||
2005-08-18 | |||
Win32.zotob vulnerability Original release date: 08/16/2005 Last revised: -- Source: US-CERT Systems Affected o "플러그 앤 플레이의 취약점(MS05-039)" 취약점을 패치하지 않은 윈도우즈 2000 시스템 o 이메일로 전파되는 일부 변종은 대부분의 윈도우즈 시스템(윈도우즈 2000, NT, XP 등)이 해당됨 Overview zotob 웜은 윈도우즈 시스템의 최신 보안취약점인 "플러그 앤 플레이의 취약점(MS05-039)"을 이용하여 전파되는 웜으로 국내에 유입 시 피해발생이 예상되오니 주의하시기 바랍니다. I.Description o 윈도우즈 "시스템폴더"에 아래의 파일을 복사 - botzor.exe (변종 B:csm.exe ), HAHA.EXE, 2pac.txt ※ 시스템 폴더 윈도우 95/98/ME : C:WindowsSystem 윈도우 NT/2000 : C:WinNTSystem32 윈도우 XP : C:WindowsSystem32 o 레지스트리 변경 및 추가 (윈도우 재시작시 자동실행 설정) HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun WINDOWS SYSTEM = "botzor.exe"(변종 B:csm.exe) HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunServices WINDOWS SYSTEM = "botzor.exe"(변종 B:csm.exe) o 윈도우즈 방화벽 기능을 중지시킨다. o 특정 IRC서버에 TCP/8080 포트를 통해 접속되고 감염시스템에 Tcp/8888 포트가 열려 파일 실행 및 삭제, 메일발송 등의 악의적인 기능이 수행될 수 있음 o 웜 원본 파일 전파를 위한 ftp 서비스(tcp/33333 포트)를 오픈하고, 타 시스템의 공격에 성공하면 웜 원본파일이 이 서비스를 통해 발송된다. II. Solution 1. 수동 해결 방법 ① 안전모드로 부팅 ② 웜이 생성한 레지스트리 삭제 - 레지스트리 위치 HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun WINDOWS SYSTEM = "botzor.exe"(변종 B:csm.exe) HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunServices WINDOWS SYSTEM = "botzor.exe"(변종 B:csm.exe) ③ 웜 파일 삭제 - 위치 : 시스템 폴더 - 파일명: botzor.exe(csm.exe), HAHA.EXE ④ 변조된 hosts 파일 복구 시스템폴더driversetchosts 파일을 텍스트 에디터로 오픈하여 loopback(127.0.0.1)으로 설정되어 있는 도메인 중 localhost 를 제외한 나머지 도메인들을 제거하고 저장한다. ⑤ 재 부팅 2. 자동 해결 방법 O 네트워크 관리자 - 바이러스 월의 패턴이 최신으로 업데이트 되었는지 확인한다 - diabl0.turkcoders.net(wait.atillaekici.net)도메인 쿼리 트래픽을 차단하도록 한다 O 사용자 - - 최신으로 윈도우즈를 패치한다. - 출처가 불분명한 메일이나 웜 전파 메일로 의심되는 메일은 읽지 않는다. - 백신 사용자는 최신 패턴 업데이트 후 검사 및 치료 한다 참고 사이트 O http://www.krcert.or.kr/intro/notice_read.jsp?NUM=87&menu=1 O http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx O http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.a.html O http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.b.html |