English

◀◁ 뒤로 취약점ID 24064 위험도 40 포트 4444 프로토콜 TCP 분류 BackDoor 상세설명 해당 Windows 시스템에는 MS Blast 웜의 백도어가 설치되어 있는 것으로 보인다. MS Blast 웜은 2003년 7월 16일자로 공시된 "Buffer Overrun In RPC Interface Could Allow Code Execution"라는 제목의 Microsoft 보안 게시판 MS03-026에 설명되어 있는 취약점을 도용함으로써 전파된다. 이 웜은 전체 서브넷(subnet)을 대상으로 135 포트의 오픈(open) 유무를 스캔함으로써 활동을 시작한다. 그런다음 스캔 작업은 임의로 선택한 클래스 B 서브넷 (255.255.0.0)들에 대한 스캔으로 옮겨간다. 135번 포트가 열려 있는 것으로 발견되면 취약한 시스템 상에 원격 Shell을 생성하기 위해 위에 언급한 도용방법을 사용한다. 그리고 나서 도용(exploit)이 성공함을 가정하고 원격지 시스템의 포트 4444에 접속을 시도한다. 만약 성공적으로 접속되면 원격지의 시스템에 TFTP.EXE를 이용하여 파일전송 서비스를 통해 MSBLAST.EXE (사이즈: 6,176 bytes, UPX packed) 파일의 다운로드 명령을 내린다; TFTP.EXE는 Windows 2000과 이후 버전들의 Windows 설치 시 디폴트로 포함되는 유틸리티이다. 그리고 나서 원격지의 시스템 상에 MSBLAST.EXE의 수행 명령을 보낸다. 일단 실행되면 웜은 레지스트리 키를 생성한다 (다음 둘 중의 하나일 수 있음): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill * 참고 사이트: http://www.datafellows.com/v-descs/msblast.shtml http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547 http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.html http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A http://www.sophos.com/virusinfo/analyses/w32blastera.html http://vil.nai.com/vil/content/v_100547.htm http://www.cert.org/advisories/CA-2003-19.html http://www.microsoft.com/technet/security/bulletin/MS03-026.asp * 영향을 받는 플랫폼: Microsoft Windows Any version 해결책 백신 프로그램 (안티바이러스 프로그램)을 이용하여 감염된 컴퓨터로부터 바이러스들을 제거하여야 한다. 만약 안티바이러스 프로그램이 설치되어 있지 않다면 다음 무료 웜 제거기 중의 하나를 다운로드하여 설치한다: 1. Norton AntiVirus: http://www.symantec.com/security_response/definitions/download/detail.jsp?gid=n95 2. McAfee VirusScan: http://www.mcafee.com 3. Trend Micro Internet Security: http://downloadcenter.trendmicro.com/index.php?regs=NABU&clk=latest&clkval=280&lang_loc=1 4. Symantec DCOM Cleaner: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html -- 혹은 -- 다음 절차를 따라 수작업으로 웜을 제거한다: 1. 메모리로부터 웜 프로세스의 작동을 종료시킨다. 1) CTRL+SHIFT+ESC를 누른 다음 윈도우즈 작업 관리자를 클릭한다. 그리고 프로세스 탭을 클릭한다. 2) 작동중인 프로그램들의 리스트에서 프로세스 MSBLAST.EXE를 찾는다. 3) 웜 프로세스를 선택하고 프로세스 끝내기 버튼을 클릭한다. 4) 작업 관리자를 닫는다. 알림: 위의 절차에 의해 메모리로부터 웜 프로세스가 종료되지 않는다면 시스템을 재시작 하여야 한다. 2. 시스템 시작과 함께 자동 실행되지 않도록 레지스트리로부터 자동시작 엔트리를 제거하여야 한다: 1) 레지스트리 편집기를 연다. 이를 위해 시작>실행을 클릭, regedit를 타이핑, 그리고 나서 엔트키를 누른다. 2) 좌측 윈도우로부터 다음을 더블클릭한다: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run 3) 오측 윈도우에서 다음 엔트리를 찾아 삭제한다: "windows auto update" = MSBLAST.EXE 4) 레지스트리 편집기를 닫는다. -- 그리고 -- 다음 마이크로소프트의 보안 게시판 MS03-026를 참조하여 시스템에 적절한 패치를 적용하여야 한다: http://www.microsoft.com/technet/security/bulletin/ms03-026.asp 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)