English

◀◁ 뒤로 취약점ID 24088 위험도 40 포트 80,139, ... 프로토콜 TCP 분류 BackDoor 상세설명 해당 시스템은 'Nimda' 웜에 의해 감염된 것으로 나타난다. Nimda 웜은 윈도우즈 95, 98, ME, NT, 혹은 2000을 운영중인 웍스테이션들 (클라이언트)과 윈도우즈 NT와 2000을 운영중인 서버들의 사용자가 잠재적인 감염대상이다. "W32/Nimda worm" 혹은 "Concept Virus (CV) v.5"로 알려진 이 새로운 웜은 다음과 같은 복합적인 메커니즘에 의해 전파된다. o Email에 의한 클라이언트에서 클라이언트로의 전파 o 열려진 네트워크 공유에 의한 클라이언트에서 클라이언트로의 전파 o 감염된 웹사이트의 브라우징을 통한 웹서버에서 클라이언트로의 전파 o 마이크로소프트 IIS 4.0/5.0 디렉토리 탐색 취약점들을 도용한 클라이언트에서 웹서버로의 전파 -- http://www.kb.cert.org/vuls/id/111677 -- http://www.cert.org/advisories/CA-2001-12.html o "Code Red II"와 "sadmind/IIS" 웜들에 의한 생성된 백도어를 통한 클라이언트에서 웹서버로의 전파 -- http://www.cert.org/advisories/CA-2001-11.html -- http://www.cert.org/incident_notes/IN-2001-09.html 'Nimda' 웜은 자기 자신을 퍼뜨리기 위해 웹의 내용수정 이외에 파괴적인 행동들은 하지 않는다. 그러나 감염된 호스트는 다른 인터넷 사이트들을 공격하는데 참여하기 때문에 위험하다. 그리고 Nimda 웜의 지나친 스캐닝 작업은 서비스 거부를 일으킬 만큼 감염된 시스템이 위치한 네트워크 상에 부하를 증가시킬 수 있다. * 참고 사이트: http://www.cert.org/advisories/CA-2001-26.html http://www.f-secure.com/v-descs/nimda.shtml * 영향을 받는 플랫폼: Microsoft Windows Any version 해결책 웜의 완전한 제거는 몇몇 추가적인 수작업이 필요하다. 웜을 제거하고 감염된 웍스테이션을 복구하기 위해서는 다음과 같은 절차를 따라야 한다. 1. 네트웍을 임시적으로 Disable 시킨다. 2. 탐색기를 이용하여 모든 로컬 하드디스크들에 있는 모든 파일들을 스캔하여 *.EML과 *.NWS 파일들을 모두 삭제한다. (전형적으로 크기가 79,225 바이트이다) 3. 모든 웜 카피들을 삭제한다. (전형적으로 크기가 57,344 바이트이다) MMC.EXE (Windows 디렉토리에 있음) LOAD.EXE (Windows의 system 디렉토리에 있음) RICHED20.DLL or RICHED32.DLL (Windows의 system 디렉토리에 있음) ADMIN.DLL (모든 하드디스크 드라이브의 모든 폴더에 있을 수 있음) 4. 시스템을 재시동한다. 아직 네트웍에 연결해서는 안된다. 시스템에 감염된 파일들이 없는지 다시 한번 찾아본다. 5. Windows 디렉토리에 있는 SYSTEM.INI 파일을 찾아서 워드패드나 메모장으로 오픈한다. "shell=explorer.exe load.exe -donotloadold" 문자열이 있다면 "shell=explorer.exe" 문자열로 바꾼다. 6. 로컬 임시 디렉토리들로 부터 .TMP 확장을 가진 파일을 모두 삭제한다. 전형적으로 \Temp\ 혹은 \Windows\Temp\ 혹은 \documents and settings\username\local settings\temp 디렉토리 7. 정상적인 RICHED20.DLL 혹은 RICHED32.DLL 파일을 \Windows\System\나 \WinNT\System32\ 폴더에 복사한다. 이 DLL은 많은 응용프로그램에 의해 사용되기 때문에 이 DLL이 없으면 그 프로그램들은 동작하지 않는다. 8. 모든 로컬 하드디스크에서 공유를 모두 없애고 필요하다면 이들 액세스 권한을 잘 조절하여 공유를 다시 생성한다. 특히 \\localhost\c$ 공유권한을 잘 체크한다. 9. 'Guest' 계정의 패스워드를 설정하고 필요하지 않다면 계정을 삭제한다. 또한 'Administrators' 그룹으로 부터 'Guest' 계정을 제거한다. 10. 모든 *.HTML, *.ASP, 그리고 *.HTM을 체크하여 JavaScript 코드가 README.EML 파일을 참조하고 있는지를 찾아 그것들을 제거하거나 백업으로 부터 감염된 파일을 복구한다. 이 JavaScript 코드는 감염된 파일들의 가장 끝자리에 위치한다. 11. 혹시 있을지도 모를 CodeRed II 백도어 또한 제거하여야 한다. 'CodeRed'에 대한 설명과 제거방법은 다음 사이트를 참조할 수 있다. http://www.europe.f-secure.com/v-descs/bady.shtml 12. 모든 시스템들을 복구한 후에 네트웍에 연결하여야 한다. 아니면 웜에 의해 재감염될 수도 있다. 13. IIS 서버가 설치되어 있다면 벤더에서 적절한 Patch를 설치하여야 한다. IIS와 관련 취약점을 위한 누적 Patch는 다음 사이트에서 구할 수 있다: http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 14. 인터넷 익스플로러의 취약한 버전을 가지고 있다면 적어도 버전 5.0으로 업그레이드 해야 한다. 그리고 다음 사이트에서 "Automatic Execution of Embedded MIME Types" 취약점에 대한 Patch를 설치하여야 한다: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp * IE 5.01과 5.5 Patch에 대해서는 MS01-027에 있음 기타. "readme.exe" 라는 이름으로 첨부된 Email은 오픈하지 말아야 한다. 그리고 안티 바이러스 제품을 설치하여 운영하는 것이 좋다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)