English

◀◁ 뒤로 취약점ID 24053 위험도 40 포트 139 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템에서 Opaserv 웜이 발견된다. 이 네트워크 웜은 네트워크로 공유된 C:\ 드라이브를 통해 자신을 전파하기 위해 윈도우 시스템들에 있는 공유 패스워드 취약점을 사용한다. 이 취약점은 원격지의 사용자가 공유에 설정되어 있는 패스워드를 알지 못하더라도 윈도우즈 9x/Me에 공유된 파일을 액세스할 수 있도록 해 준다. 이 웜은 오픈된 네트워크 공유를 통해 복제를 시도하고, Scrsvr.exe 라는 파일을 원격지의 컴퓨터로 복사한다. 이 웜은 또한 현재는 블로킹 혹은 다운되어 있어 액세스가 불가능한 www.opasoft.com 로부터 업데이트들에 대한 다운로드를 시도한다. 감염 징후는 다음과 같다: - C 드라이브 root에 Scrsin.dat와 Scrsout.dat 파일들이 존재함. 이는 로컬 감염을 의미한다 (즉, 이 웜은 로컬 컴퓨터상에서 실행되었음을 의미). - C 드라이브 root에 Tmp.ini 파일이 존재함. 이는 원격 감염을 의미한다 (즉, 컴퓨터가 원격지의 호스트에 의해 감염되었음을 의미). - C 드라이브의 Windows 혹은 WinNT 폴더에 ScrSvr.exe 파일이 존재함 - 레지스트리 키 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run 이 ScrSvr 혹은 ScrSvrOld 문자열 값을 포함하고 있으며, c:\tmp.ini로 설정되어 있다. 안티바이러스 벤더에 따르면 W32/Opaserv.worm [McAfee], W32/Opaserv-A [Sophos], Win32.Opaserv [CA], WORM_OPASOFT.A [Trend], Worm.Win32.Opasoft [AVP], 등등의 이름으로 알려져 있다. * 취약한 플랫폼: Microsoft Windows Any version * 참고 사이트: http://securityresponse.symantec.com/avcenter/venc/data/w32.opaserv.worm.html http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_OPASOFT.A 해결책 1. 안티 바이러스 프로그램들이나 무료 감염제거 툴들을 이용하여 웜을 제거한다. 무료 Opa Worm 감염제거 툴은 다음 사이트에서 구할 수 있다: http://securityresponse.symantec.com/avcenter/venc/data/w32.opaserv.worm.removal.tool.html 2. 공유 패스워드 취약점에 대한 패치를 적용하지 않았다면 재감염을 방지하기 위해서 패치를 구하여 설치하여야 한다. 패치는 http://www.microsoft.com/technet/security/bulletin/MS00-072.asp 에서 구할 수 있다. 3. 감염된 컴퓨터의 윈도우즈 공유들을 제거하여야 한다. 그렇지 않으면 읽기전용 액세스로 공유하거나 패스워드를 걸어둘 것을 권고한다. 관련 URL CVE-2000-0979 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)