화살표
보안패치보안관련 정보를 수집하여 고객님께 알려드리고 있습니다.
번호 제목 등록일
32 [하나로호스팅-보안공지] Win32.zotob 취약점 대응 매뉴얼 안내
2005-08-18
Win32.zotob vulnerability
Original release date: 08/16/2005
Last revised: --
Source: US-CERT
Systems Affected
o "플러그 앤 플레이의 취약점(MS05-039)" 취약점을 패치하지 않은 윈도우즈 2000 시스템
o 이메일로 전파되는 일부 변종은 대부분의 윈도우즈 시스템(윈도우즈 2000, NT, XP 등)이
해당됨
Overview
zotob 웜은 윈도우즈 시스템의 최신 보안취약점인 "플러그 앤 플레이의 취약점(MS05-039)"을
이용하여 전파되는 웜으로 국내에 유입 시 피해발생이 예상되오니 주의하시기 바랍니다.
I.Description
o 윈도우즈 "시스템폴더"에 아래의 파일을 복사
- botzor.exe (변종 B:csm.exe ), HAHA.EXE, 2pac.txt
※ 시스템 폴더 윈도우 95/98/ME : C:WindowsSystem
윈도우 NT/2000 : C:WinNTSystem32
윈도우 XP : C:WindowsSystem32
o 레지스트리 변경 및 추가 (윈도우 재시작시 자동실행 설정)
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun
WINDOWS SYSTEM = "botzor.exe"(변종 B:csm.exe)
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRunServices
WINDOWS SYSTEM = "botzor.exe"(변종 B:csm.exe)
o 윈도우즈 방화벽 기능을 중지시킨다.
o 특정 IRC서버에 TCP/8080 포트를 통해 접속되고 감염시스템에 Tcp/8888 포트가 열려
파일 실행 및 삭제, 메일발송 등의 악의적인 기능이 수행될 수 있음
o 웜 원본 파일 전파를 위한 ftp 서비스(tcp/33333 포트)를 오픈하고,
타 시스템의 공격에 성공하면 웜 원본파일이 이 서비스를 통해 발송된다.
II. Solution
1. 수동 해결 방법
① 안전모드로 부팅
② 웜이 생성한 레지스트리 삭제
- 레지스트리 위치
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun
WINDOWS SYSTEM = "botzor.exe"(변종 B:csm.exe)
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRunServices
WINDOWS SYSTEM = "botzor.exe"(변종 B:csm.exe)
③ 웜 파일 삭제
- 위치 : 시스템 폴더
- 파일명: botzor.exe(csm.exe), HAHA.EXE
④ 변조된 hosts 파일 복구
시스템폴더driversetchosts 파일을 텍스트 에디터로 오픈하여
loopback(127.0.0.1)으로 설정되어 있는 도메인 중 localhost 를 제외한 나머지
도메인들을 제거하고 저장한다.
⑤ 재 부팅
2. 자동 해결 방법
O 네트워크 관리자
- 바이러스 월의 패턴이 최신으로 업데이트 되었는지 확인한다
- diabl0.turkcoders.net(wait.atillaekici.net)도메인 쿼리 트래픽을 차단하도록 한다
O 사용자
- - 최신으로 윈도우즈를 패치한다.
- 출처가 불분명한 메일이나 웜 전파 메일로 의심되는 메일은 읽지 않는다.
- 백신 사용자는 최신 패턴 업데이트 후 검사 및 치료 한다
참고 사이트
O http://www.krcert.or.kr/intro/notice_read.jsp?NUM=87&menu=1
O http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
O http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.a.html
O http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.b.html