이전 다음

혹시 [시스템 종료] 말고 [다시 시작] 누른 거 아니여요?

찬성: 0 | 반대: 0 삭제

아뇨.. 확실히 종료로 했어요...
글구 첫번째 껐을때는 컨트롤 알트 델 누르고 부팅하는 도중에
전원버튼을 걍 눌러서 강제로 꺼버렸구요...

집안에 팥을 뿌려야 하나.. 무섭다.

찬성: 0 | 반대: 0

①. 그냥 코드 뽑아두세요.
②. 컴터 잘 아는 친구를 섭외하세요.
③. A/S를 콜~ 하세요.
④. 본체를 걷어차세요. 발로차~ 싸커~

찬성: 0 | 반대: 0

발로차는게 직빵이라는....;;;

물론 제 컴에 해당하는 얘기임다...ㅠ_ㅠ

찬성: 0 | 반대: 0 삭제

분명히 바이러스 감염증상입니다. 그것도 악성 바이러스...
도스 부팅해서 최신 v3로 한번 (다른 컴으로 디스켓에 받아서) 검색해보세요..

찬성: 0 | 반대: 0

켜졌다 꺼졌다 하면 윔바이러스 가튼데???
치료한번 해보세요..^^

찬성: 0 | 반대: 0

[필수조치]BOT 관련 악성코드들 [GTBot]

이와 관련된 정보는 앞으로 계속 카페에 업데이트 될 예정이니 카페 정보를 수시로 확인해 주시면 도움이 되실것 같습니다.

윈도우2000/XP 등의 RPC 보안 취약점이나 관리목적의 공유폴더 취약점 문제로 유입되는 악성 웜들이 실제 알려져 있는 것보다 피해가 큰 것으로 확인되고 있습니다.

대표적으로 BOT 관련 변형들과 블래스터 / 웰치아 웜등이 대표적입니다.

avzone 운영자가 자체 테스트를 해 본 결과 윈도우 XP 를 설치하고 인터넷에 바로 전용선을 통해서 연결된 경우 악성 웜등이 바로 유입/감염되며, 보안패치/공유해제를 해주지 못한 경우 치료에 상당한 어려움이 있는 것이 확인되었습니다.

일단 RPC 보안취약점을 이용할 경우 아래와 같이 종료창이 나오는 증상은 많이 알려져 있습니다.

GTBot(Global Threat Robot)은 mIRC 프로그램(인터넷 채팅 프로그램)을 이용해 다른 컴퓨터를 공격 할 수 있는 프로그램을 총칭합니다.

악성코드의 이름으로 많이 사용되는 BOT은 원래 robot의 줄임말이며, 보통 IRC 채팅 프로그램에서 클라이언트 또는 독립된 별도의 프로그램으로 실행된 것을 의미하는 용어로 사용되어 왔습니다.

하지만 최근에는 mIRC 뿐만 아니라 관리목적 공유폴더의 취약점과 RPC 보안취약점등을 이용하여 많이 확산되고 있기도 하며, 이들 악성 프로그램의 변형중에는 스스로 퍼지고 백도어 기능을 포함하기도 합니다.

전파 경로는 일반적인 이메일 웜과 같이 이메일을 이용하기도 하지만 사용자가 윈도우 암호를 간단히 설정해 감염되는 경우가 더욱 많습니다.

감염시 대부분 레지스트리에 자신을 추가하여 재부팅될 경우 자동 실행되도록 합니다.

레지스트리 조치방법은 악성코드 게시판 공지사항에 자세히 올려져 있으니 참고해 주세요.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

GTBot은 하나의 파일이 아니고 해당 분류를 총칭하는 이름이므로 파일명, 길이 등은 모두 다르며, 매우 많은 변형들이 존재합니다.

근래에 신고가 증가하고 있는 Agobot 과 SdBot, SpyBot, IRC BOT 변형들도 모두 GTBot에 포함됩니다.

최근 유행중인 BOT 관련 변형 악성코드들은 관리목적 공유폴더의 사용자 암호관리 취약점과 RPC 보안 취약점등을 이용한 감염 사례들이 매우 많으며, 감염시에는 치료에도 대단히 어려움을 겪고 있습니다.

이미 감염된 경우 부분적으로 아래와 같은 부작용이 발생됩니다.

1. CPU 사용률이 100% 로 올라가 다른 수동조치가 어렵습니다.

2. 감염된 후에 인터넷에서 보안패치등의 파일을 받기 위해 URL 주소등의 링크를 클릭할 경우 열리지 않거나 파일이 받아지지 않습니다.

3. 레지스트리나 시스템 구성유틸리티 창들을 열면 몇 초 후에 창이 자동으로 닫혀버려 수동조치가 어려워 집니다.

4. 백신으로 진단되지 않는 변형들이 많고, 중복적으로 감염되는 사례가 많습니다.

5. 시스템 속도가 급속하게 저하되거나 화면이 멈추는등의 부작용이 발생합니다.

6. 강제종료 후 삭제를 시도할 경우, 강제종료를 해도 바로 재실행되는 경우가 있습니다.

윈도우 2000 이나 XP 에서는 기본 값으로 설정된 관리목적으로 공유된 폴더가 존재합니다.

Windows NT 계열(NT/2000/XP/2003)의 RPC DCOM 취약성을 이용한 웜은 치료와는 별도로 RPC 버퍼 오버플로우에 관한 보안패치를 적용해야만 다른 변종으로 부터의 추가적인 피해를 근본적으로 막을 수 있습니다.

아래와 같은 시스템 재부팅 카운트 메시지가 출력되면 RPC 보안 취약점을 이용한 웜에 감염된 경우로 볼 수 있습니다.

<a href=http://www.microsoft.com/korea/security/images/show.gif target=_blank>http://www.microsoft.com/korea/security/images/show.gif</a>

위와 같은 창이 나오면 반복적으로 계속 카운트 창과 함께 재부팅이 됩니다.

조치방법으로

[시작버튼]-[실행] 에서 shutdown -a 를 입력 후 확인을 클릭하면 재부팅 증상을 일시적으로 방지할 수 있습니다.

기본적으로 윈도우 2000 / XP 는 관리목적으로 각 드라이브가 공유되어있으며 다음과 같이 확인해볼 수 있습니다.

1) 시작 → 설정 → 제어판 → 관리도구 → 컴퓨터 관리 → 공유폴더 → 공유

윈도우 2000 또는 XP는 부팅 시 기존의 윈도우 98 계열의 OS와 달리 로그인 계정에 대한 확인 작업을 거치게 됩니다.

그러나 많은 사용자들이 (개인, 기업 사용자들) 윈도우의 초기설정값인 Administrator 를 사용하고 암호는 암호가 없는 Null 값으로 많이 사용하고 있습니다.

이 관리목적의 공유 폴더들은 [드라이브 문자]$ 식으로 표현되며 일반적으로 C:\, D:\ 드라이브 명을 말합니다.

해당 드라이브의 공유항목을 살펴보면 관리목적으로 공유가 되어 있음을 확인해 볼 수가 있습니다.

또한 $를 붙여 숨겨진 공유항목으로 설정되어 있습니다.

즉 공유되었다는 표시는 되지 않습니다.

이러한 폴더들은 관리자가 외부에서 네트워크로 액세스가 가능하도록 되어 있습니다.

물론 액세스 시에는 사용자명과 암호가 필요합니다.

그런데 위와 같이 사용자명을 Administrator로, 암호를 없음의 기본 값으로 설정했거나 유추하기 쉬운 암호 및 사용자명을 사용하고 있다면 배치파일을 이용하여 암호 및 사용자명을 순차적으로 대입하는 사전공격방법(Dictionary Attack)으로 외부 네트워크에서 시스템에 관리자 권한으로 접근이 가능합니다.

따라서 윈도우 2000 이나 XP 사용자는 윈도우 로그인 암호를 복잡하게 설정하여 사용해 주는것이 좋습니다.

※ 윈도우 암호 재설정 방법

1) Ctrl+Alt+Del 키를 동시에 눌러 보여지는 창의 메뉴중 ‘암호변경’를 선택한다.

2) 안내되는 메시지에 따라 암호를 변경한다. 새로운 암호를 적용시 유추하기 쉬운
(예를들어 1234, Admin, root 등) 암호는 절대 사용하지 않으며 자신만의 고유한 암호(예를들어 한글을 영타로 입력하는등)를 입력하도록 한다.

대부분 아래의 3가지 보안 취약성을 이용하여 전파되므로 보안패치를 반드시 해주시기 바랍니다.

마이크로 소프트사에서 발표되어 있는 각 운영체제별 서비스팩을 먼저 설치후에 보안패치를 해주시면 좋겠고요.

MS03-001 RPC Locator 취약성

<a href=http://www.microsoft.com/korea/technet/security/bulletin/MS03-001.asp target=_blank>http://www.microsoft.com/korea/technet/security/bulletin/MS03-001.asp</a>

MS03-007 WebDAV 취약성

<a href=http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp target=_blank>http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp</a>

MS03-026 RPC DCOM 취약성

<a href=http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp target=_blank>http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp</a>

1. 관리목적으로 IPC 공유된 폴더를 이용하여 전파됩니다. 대부분 Administartor등의 관리자 계정의 암호가 설정되어 있지않거나 “1234”등의 쉬운 암호로 설정된 경우에 해당 취약점을 이용 접속후 트로이목마 프로그램이나 드로퍼 파일이 생성됩니다.

사용하시는 시스템이 윈도우 2000 계열이라면 Administrator 의 암호를 유추하기 어려운 것으로 변경하시기 바랍니다.

Windows 2000 계열 사용자 계정 관리하기

a. [시작]-[설정]-[제어판]-[사용자 및 암호] 를 클릭 합니다.
b. [사용자 이름과 암호를 입력해야 이 컴퓨터를 사용할 수 있음] 을 체크 합니다.
c. 사용하시는 계정을 선택 후 [암호설정] 을 클릭하여 암호를 설정 합니다.
d. 사용하지 않는 불필요한 계정은 [제거] 합니다.

Windows XP 계열 사용자 계정 관리하기

a. [시작]-[제어판]-[사용자 계정] 을 클릭 합니다.
b. 사용하시는 계정을 선택 후 [내 암호 변경]을 클릭하여 암호를 설정 합니다.
c. 사용하지 않는 불필요한 계정은 선택 후 [계정 삭제]를 합니다.

2. 사용하시는 시스템에 맞는 보안 패치와 서비스팩을 설치하시기 바랍니다.

a. 인터넷이 연결되어 있는지 확인합니다.
b. 인터넷 익스폴로어를 실행하고 상단에 있는 [도구]를 클릭합니다.
c. 메뉴항목 중 [Windows Update]를 클릭합니다.
d. [업데이트 검색]을 클릭하신 후 [중요 업데이트 및 서비스팩]에 나오는 항목들을 모두 설치하시기 바랍니다.

SdBot 류는 공통적으로 다음과 같은 기능이 있습니다.

- 트로이 목마 설치 및 제거
- IRC 관련 기본 명령 수행
- 채널상에 다른 사용자들에게 트로이 목마 전파
- 시스템 및 네트워크 관련 정보 확인
- 임의의 주소와 포트로 UDP 패킷을 이용한 DoS 공격가능

----------------------------------------------
오늘 날짜로 AVZONE 에서 이멜로 온 정보입니다.

찬성: 0 | 반대: 0

...........스크롤의 압박.

바이러스라는 의견에 한표.

찬성: 0 | 반대: 0