| 번호 | 제목 | 등록일 | |
|---|---|---|---|
| 9 | [C급] SPYBOT.S 웜 예보 | ||
| 2004-01-26 | |||
| ☆ 개요 SPYBOT.S 웜은 메일의 첨부파일을 실행할 경우 감염되며, MS RPC 취약점을 이용해서도 전파된다. 1월 20일 국외에서 처음 발견되었으며 1월 20일 현재, 아직 국내에는 유입되지 않은 것으로 파악된다. 웜에 감염되면 TCP 135 스캔을 통해 취약점이 존재하는 다른 시스템을 찾게되며, 31031 포트를 이용 하는 백도어를 오픈하여 IRC 서버에 접속한다. ☆ 전파방법 □ 메일을 이용한 전파 - 보 낸 이 : <조작된 이메일 주소> - 제 목 : Windows new update Protect RPC Worms - 본 문 : This exclusive product includes protection from new vulnerabilities from new viruses RPC. Worm and Nbt.Worm. - 첨부파일: setup.exe □ 취약점을 이용한 전파 MS RPC 취약점(MS03-026)을 이용해 전파되며, 취약점에 대한 자세한 내용은 아래를 참고한다. RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제 ☆ 피해증상 □ 바이러스의 전파를 위해 임의의 IP주소를 생성한 후, TCP 135 포트를 이용한 RPC 취약점 공격 트래픽을 발생시킨다. □ 웜에 감염되면 31031 포트를 사용하는 백도어가 오픈되며, 백도어를 이용해 다음과 같은 일을 수행한다. - 키로거 - ICMP 패킷을 이용한 Flood 공격수행 - 인터넷에서 파일다운로드 - IRC Flood □ 웜이 실행되면 Windows 시스템 폴더에 아래의 파일을 생성한다. - Nvcpl.exe - rswpscfg.dll ※ Windows 시스템 폴더 · Windows 2000/NT : C:WINNTSystem32 · Windows XP : C:WindowsSystem32 · Windows 95/98/ME : C:WindowsSystem □ Windows Temp 폴더에 확장자가 .TXT를 갖고 파일명이 랜덤한 파일들을 생성한다. □ 재부팅 시에도 웜이 동작하기 위해 다음의 내용이 레지스트리에 추가된다. - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun NvCpl32Deamon = “nvcpl.exe” - HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce NvCpl32Deamon = “nvcpl.exe” ☆ 감염시 치료방법 □ 수동치료방법 ① 안전모드로 부팅한다. ② 아래의 레지스트리 키 값을 삭제한다. - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun NvCpl32Deamon = “nvcpl.exe” - HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce NvCpl32Deamon = “nvcpl.exe” □ 백신프로그램을 최신버전으로 업데이트한 다음 검사하여 치료한다. ☆ 예방법 출처가 불분명한 메일은 읽지 말고 바로 삭제해야 하며, MS RPC 취약점에 대한 패치를 설치해야 한다. ☆ 참조사이트 □ 트랜드마이크로 : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SPYBOT.S |
|||
