이 글은
인터넷침해사고대응지원센터
http://www.krcert.or.kr 의 보안 공지를 퍼온 내용입니다 .

혹시 본 포스트를 보시고
인터넷침해사고대응지원센터를 들리어 저처럼 퍼가시는 분은
꼭 위에 제가 밝힌 것처럼 출처를 밝히는 것이
인터넷침해사고대응지원센터의 권고임을 알려드립니다 .

□ 개요

  o MS08-067 취약점[1] 및 USB 이동저장매체 등으로 전파[2]되는 악성코드
    Conficker[3]의 새로운 변종이 추가적으로 발견되어 피해 주의가 요구됨
  o 최근 발견된 변종 가운데 일부는 HTTP 및 P2P 통신을 통한 추가 악성코드
    전파를 시도함


□ 악성코드 피해 증상[4, 5]

  o 임의의 IP로 TCP/UDP 스캔 패킷을 발생시킴
  o 매일 임의의 문자열로 생성된 500개의 도메인에 대한 접속 및 추가 악성코드
    다운로드 시도
  o P2P 네트워크 형성 및 추가 악성코드 다운로드
  o microsoft, windowsupdate, hauri, ahnlab 등 보안 관련 특정 문자열이 포함된
    도메인들에 대한 DNS 요청을 차단
  o procexp, tcpview, wireshark 등 각종 모니터링 도구를 종료시킴
  o 다음 윈도우 보안 서비스를 중지/비활성화 시킴
    - Windows Security Center Service (wscsvc)
    - Windows Defender Service (WinDefend)
    - Windows Automatic Update Service (wuauserv)
    - Background Intelligent Transfer Service (BITS)
    - Windows Error Reporting Service (ERSvc / WerSvc)

 
□ 예방 방법

  o Conficker 변종은 MS08-067 취약점, 공유폴더, USB 이동저장매체 등 다양한
    형태의 감염경로를 나타냄으로 다음과 같은 조치가 필요함

  o 일반 인터넷 이용자
    - MS08-067 보안업데이트[1] 설치
      ※ 현재까지 나온 모든 보안업데이트 적용 권고
      ※ 윈도우 자동 업데이트 설정
         시작 → 제어판 → 자동 업데이트 → 자동(권장) 체크 → 적용 → 확인
    - 개인방화벽 및 백신 사용의 생활화
    - 불필요한 파일 공유는 제거하고, 필요하다면 적절한 권한 제어와 유추하기
      힘든 비밀번호 설정
    - 이동식 드라이브의 자동으로 실행 방지
      ※ 첨부파일(usbguard.zip) 압축해제 후 usbguard.exe 실행
      ※ 프로그램 출처 : 국가사이버안전센터(NCSC)
    - 만우절 등과 같은 특정일을 악용하여 활동 및 전파하는 악성코드가 많으므로,
      PC 및 인터넷 사용에 있어 각별한 주의가 요구됨

  o 네트워크 관리자
    - 운영중인 보안장비에서 탐지가 가능하도록 최신 룰 업데이트
    - 외부로부터 TCP 139, 445 트래픽이 유입이 되지 않도록 차단하고,
      기관/기업 내부 네트워크에서도 자체 검토 후 불필요한 경우 차단
 

□ 참조사이트

[1] http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx
[2] http://www.krcert.or.kr/secureNoticeView.do?num=308&seq=-1
[3] http://www.krcert.or.kr/secureNoticeView.do?num=306&seq=-1
[4] http://mtc.sri.com/Conficker/addendumC/
[5] http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.C


[글벌레가 제공해드리는 추가 정보]


 □ 글벌레의 블로그에서 관련 글 보기

2009/02/10 - [유용한 팁들] - VBScript를 이용한 악성툴에 대한 대처
(usbguard 다운로드 가능 .)

□ 각 백신사에서 제공중인 전용 백신

1 . W32.Downadup Removal Tool (시만텍 , 노턴안티바이러스)

2 . Win32/Conficker.worm (안철수연구소 , V3 )

 

글벌레의 블로그에서 윗글과 관련된 글벌레의 다른 글 또는 원하시는 내용을 찾아보세요 .
(컴퓨터 관련 또는 기타 검색 시는 키워드 검색을 하세요 . 예 - 프로세스 익스플로러)
(TV 드라마 또는 영화 관련 검색 시는 드라마/영화 제목으로 검색하시면 됩니다.)

검색 예시 - 예를 들어 구가의 서라고 검색하시면
구가의 서와 관련된 글벌레의 모든 리뷰들을 보실 수 있습니다.

 
 
Posted by 글벌레

댓글을 달아 주세요