저번 4월 30일부터 신종 웜 바이러스가 출현했다고 하는군요.
물론 기존 바이러스의 변종이기는 하지만...
이게 상당히 까다롭습니다. -_-;;;
이미 제 컴퓨터는 감염된 상태라 부팅하자마자
메모리 부트섹터 부분에 계속 백신을 돌려줘야 하고 있습니다.
안철수 백신 연구소 센터에 의하면...
=========================================================================
W32/Sasser.worm, Worm.Win32.Sasser.15872
- 윈도우 폴더에 avserve.exe 파일이 만들어 진다.
- TCP 445번 포트 접속 시도가 증가한다.
- TCP 1000번~2000번대와 5554번 포트가 LISTENING 상태로 된다.
- 윈도우시스템 폴더에 파일 이름이 숫자_up.exe로 된 다수의 파일이 만들어 진다.
- 감염 후 일정 시간이 지나면 CPU 사용이 100%까지 올라가며 컴퓨터 속도가 느려진다.
- 보안패치 안된 시스템이 공격 패킷을 받을 경우 에러가 발생하며 시스템이 자동 종료 될 수 있다.
* 요약
Win32/Sasser.worm.15872는 MS04-011 취약점을 이용해 전파되는 웜이다. 감염된 시스템은 윈도우 폴더에 avserve.exe 파일과 윈도우 시스템 폴더에 '숫자_up.exe'로 된 파일이 생성된다. 감염 후 일정 시간이 지나면 CPU 점유율이 100%까지 올라가며 컴퓨터 속도가 느려진다. c:win.log 파일이 생성되기도 한다.
패치 안된 시스템이 공격 패킷을 받을 때 시스템이 자동 종료될 수 있다. 동일 취약점을 이용하는 웜과 이상 패킷 공격으로 발생하는 시스템 종료를 예방하기 위해서는 반디스 MS04-011 취약점 패치해 주어야 한다.
- MS04-011 취약점(한글) 정보
- MS04-011 취약점(영문) 정보
* 확산 정도
2004년 4월 30일(외국 시간 기준)에 최초 보고되었으며 한국에는 2004년 5월 1일 오전에 최초 보고되었다. 정보를 작성하는 2004년 5월 1일 16시 53분 현재 안철수연구소는 고객으로 부터 7건의 샘플을 접수 받았다.
* 전파 경로
MS04-011 취약점을 이용해 전파된다. 웜은 임의의 IP로 접속을 시도해 상대방이 응답이 있을 경우 이상 패킷을 보낸다. 취약점이 존재하는 시스템일 경우 에러가 발생하거나 감염된다.
MS04-011 취약점을 패치하면 이 웜뿐 아니라 MS04-011 취약점을 이용한 유사 웜으로 부터 예방된다.
* LSASS 취약점 (LSASS Vulnerability - MS04-011)
MS04-011 취약점이 패치되지 않은 시스템이 공격 패킷을 받을 경우 다음과 같은 오류가 발생하며 시스템이 종료 될 수 있다.
예)
'시스템 종료
시스템을 종료하고 있습니다. 진행 중인 모든 작업을 저장하고 로그오프하십시오. 저장하지 않은 모든 변경된 내용은 손실됩니다. 시스템 종료는 NT AuthoritySYSTEM에 의해 시작되었습니다.
시스템 종료 전 대기 시간 : 00:00:60
-메시지-----
시스템 프로세스
'C:WINNTsystem32lsass.exe'이(가) 예상하지 않게 상태 코드 128(으)로 종료되었습니다. 지금 시스템을 종료하고 다시 시작할 것입니다.'
관련 취약점을 이용한 웜을 예방하기 위해서는 반드시 패치를 해야하며 패치는 다음 웹 사이트를 참고 하기 바란다.
- MS04-011 취약점(한글) 정보 및 패치 방법
- MS04-011 취약점(영문) 정보 및 패치 방법
* 실행 후 증상
웜 파일이 실행되면 윈도우 폴더에 avserve.exe 파일이 만들어 진다.
(윈도우 폴더는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:Windows, 윈도우 NT/2000은 C:WinNT 폴더이다. )
레지스트리에 다음 값을 추가해 윈도우 시작시 자동으로 실행되도록 한다.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
에 avserve.exe 키로 웜 파일 등록 (예: C:WINNTavserve.exe)
윈도우 시스템 폴더에 '숫자_up.exe' 이름의 웜 파일이 만들어 진다.
(윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:WindowsSystem, 윈도우 NT/2000은 C:WinNTSystem32, 윈도우 XP는 C:WindowsSystem32 폴더이다.)
예)
- 18572_up.exe
- 25513_up.exe
- 28763_up.exe
- 29069_up.exe
- 29982_up.exe
- 4717_up.exe
- 9337_up.exe 등
다른 시스템을 감염 시키기 위해 임의의 IP의 TCP 445번 포트로 접속을 시도한며 여러 포트를 'LISTENING' 상태로 열어둔다.
일정 시간이 지나면 CPU 사용이 100%까지 올라가며 컴퓨터 속도가 매우 느려진다. 이때 웜 프로세스(avserve.exe)를 종료하면 정상적으로 돌아온다.
* 사용포트
이 웜에 감염되면 TCP 1000번~2000번대 포트를 'LISTENING' 상태로 열어두며 임의로 선택된 IP의 TCP 455번 포트로 접속을 시도한다. TCP 5554번, 9996번 포트도 사용된다.
예) 감염된 시스템에서 NETSTAT -AN으로 확인한 경우
( 주 : IP 주소는 달라지며 일부는 xx로 대체했음 )
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1031 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1032 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1034 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1035 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1036 0.0.0.0:0 LISTENING
~~ 중 략 ~~
TCP 0.0.0.0:2968 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2969 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2970 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2971 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2972 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2973 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2974 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5554 0.0.0.0:0 LISTENING
TCP 192.168.100.2:139 0.0.0.0:0 LISTENING
TCP 192.168.100.2:2865 xx.202.222.247:445 SYN_SENT
TCP 192.168.100.2:2866 3.xxx.142.75:445 SYN_SENT
TCP 192.168.100.2:2867 192.168.183.xxx:445 SYN_SENT
TCP 192.168.100.2:2868 192.168.122.xxx:445 SYN_SENT
TCP 192.168.100.2:2869 192.1.151.xx:445 SYN_SENT
TCP 192.168.100.2:2870 192.171.17.xxx:445 SYN_SENT
TCP 192.168.100.2:2871 192.168.253.xxx:445 SYN_SENT
~~ 중 략 ~~
TCP 192.168.100.2:2972 xx.205.xxx.180:445 SYN_SENT
TCP 192.168.100.2:2973 192.xxx.41.36:445 SYN_SENT
TCP 192.168.100.2:2974 192.123.195.xxx:445 SYN_SENT
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 192.168.100.2:137 *:*
UDP 192.168.100.2:138 *:*
UDP 192.168.100.2:500 *:*
* 이 정보는 2004년 5월 1일 16시 40분에 최초 작성되었으며 2004년 5월 1일 20시 40분에 최종 수정되었다.
* 취약점 검사
마이크로소프트사는 MBSA(Microsoft Baseline Security Analyzer)를 통해 시스템 혹은 내부 네트웍에 접속된 시스템의 취약점을 검사해주는 프로그램을 제공하고 있다.
시스템에 어떤 취약점이 있는지 확인해 적절한 조치를 취해 해킹 및 악성코드를 예방 할 수 있다.
MBSA에 대한 내용은 아래 사이트를 참고하면 된다.
- http://www.microsoft.com/korea/technet/security/tools/Tools/MBSAhome.asp (한글)
- http://www.microsoft.com/technet/security/tools/mbsahome.mspx (영어)
* 윈도우 보안 업데이트 방법
윈도우 취약점을 이용해 전파되는 바이러스, 웜, 트로이목마 등을 예방하기 위해서는 최신 윈도우 업데이트를 해야한다.
1. 인터넷이 연결이 되어있는 상태에서 'Windows Update' 사이트에 접속한다.
(윈도우 98/2000 의 경우 [시작] → [Windows Update], 윈도우 XP의 경우 [시작] -> [모든 프로그램(P) -> [Windows Update]]
혹은 인터넷 익스플로러 실행 -> 메뉴에서 '도구' -> 'Windows Update(U)'나 인터넷 익스플로어에서 http://windowsupdate.microsoft.com로 직접 접속 가능)
2. 윈도우 업데이트 페이지로 연결 후 [보안경고] 창이 뜨면 [예] 버튼을 선택한다. 단, 한번이라도 윈도우를 업데이트 한 사용자는 [보안경고] 창이 뜨지 않는다.
3. [업데이트 검색]을 선택해 필요한 업데이트를 찾는다.
4. [업데이트 검색]이 완료되면 업데이트 가능한 "중요 업데이트 및 서비스 팩", 사용 윈도우용 업데이트, "드라이버 업데이트" 수가 출력된다.
5. 업데이트를 위해 [업데이트 검토 및 설치]를 선택 하면 전체 업데이트 목록이 나온다. [지금 설치]를 눌러 업데이트를 시작한다.
6. 서비스 팩 등은 다른 업데이트와 동시에 설치 할 수 없다. 서비스 팩 등을 설치 후 반드시 다른 업데이트도 설치해야 한다. [확인]을 선택해 계속 진행한다
7. 사용자 동의를 구하는 창이 뜰 경우 [확인]을 눌러 진행한다.
8. 설치가 완료되면 시스템을 재시작 해야 하는 경우가 있다. [확인]을 눌러 시스템을 재부팅 한다.
9. 재부팅 후 1번 과정을 반복해 [업데이트 검색] 후 현재 사용 가능한 중요 업데이트가 없을 때까지 업데이트를 반복한다
* MS04-011 취약점 공격 패킷 차단 전용 백신
안철수연구소는 MS04-011 취약점 공격 패킷을 차단하는 전용 백신을 제공하고 있다. 패치를 적용할 수 없는 시스템이나 패치 중 이상 패킷 공격으로 시스템이 종료 되는 경우 사용할 수 있다.
주의 : 전용백신으로 차단할 수 없는 취약점 공격 패킷이 존재할 수 있다. 이 경우 예방 할 수 없다.
=========================================================================
이렇게 제가 걸린 웜은 Sasser 웜이지만...
같은 날짜에 Agobot 웜도 기승을 부린다고 하더군요.
하지만 전 Agobot 웜은 걸리지 않았고... Sasser 웜이 기승을 부립니다. -_-;
제 증상은 Sasser 웜에 감염되고 나서부터
컴퓨터를 부팅하고 난 뒤... 몇 분 지나면 갑자기 컴퓨터가 버벅거리면서
CPU 의 avserve.exe 점유율이 99% 까지 올라가고 ????_up.exe 가 생성됐죠.
하여튼... 웜 바이러스 주의합시다. ;ㅅ;/
Comment ' 7