1. 개요
o MS08-067 취약점[1,2]을 악용하는 악성코드에 의해 국내 일부 인터넷 사용자 PC의 인터넷
접속장애 사례[3]가 발생한 이래 해당 악성코드의 변종에 감염된 PC의 숫자가 급격히 증가해[4]
주의가 요구됨
o Conficker 또는 Downadup으로 명명된 악성코드는 MS08-067 취약점 이외에도 네트워크 공유에
대한 비밀번호 무작위 대입 공격과 USB와 같은 이동형 저장장치를 통해 전파됨
2. 악성코드의 전파
o MS08-067 업데이트[1]를 설치하지 않은 시스템을 스캔하여 악성코드에 감염시킴
o 단순한 비밀번호가 설정된 네트워크 공유에 대한 대입 공격
o 이동형 저장장치의 자동 실행(Autorun)을 통해 전파
3. 악성코드 피해 증상
o 임의의 IP로 과도한 스캔 패킷을 발생시켜 HTTP, FTP등 TCP 기반의 통신 장애 유발
o 특정 문자열이 포함된 도메인들에 대한 DNS 요청을 모니터링하여 해당 도메인들에 대한 액세스 차단
4. 조치 방법
o 악성코드 치료 전용백신 이용
- 안철수연구소
http://download.ahnlab.com/vaccine/v3conficker.exe
- 하우리
http://download.hauri.net/DownSource/down/dwn_antivirus_down.html?uid=57
- F-Downadup Removal Tool
ftp://ftp.antivirus.fi/anti-virus/tools/beta/f-downadup.zip
- Symantec
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe
- BitDefender
http://download.bitdefender.com/resources/files/Download/en/anti-downadup.zip
- 마이크로소프트 악성 소프트웨어 제거 도구(MSRT)
http://download.microsoft.com/download/4/A/A/4AA524C6-239D-47FF-860B-5B397199CBF8/windows-
kb890830-v2.6.exe
o 수동 복구[9]
- 단계가 많고 복잡해서 설정 상의 실수로 시스템 오류를 일으킬 수 있으므로 전용 백신 사용을 권장
- 수동 복구가 필요한 경우라면 [9]을 참조
5. 예방 방법
o 네트워크 관리자
- 운영 중인 보안장비에서 탐지가 가능하도록 최신 룰 업데이트
- 외부로부터 TCP 139, 445 트래픽이 유입이 되지 않도록 차단하고, 기관/기업 내부 네트워크에서도
자체 검토 후 불필요한 경우 차단
o 일반 인터넷 이용자
- MS08-067 보안업데이트[1] 설치
※ 현재까지 나온 모든 보안업데이트 적용 권고
※ 윈도우 자동 업데이트 설정
시작 → 제어판 → 자동 업데이트 → 자동(권장) 체크 → 적용 → 확인
- 불필요한 파일 공유는 제거하고, 필요하다면 적절한 권한 제어와 유추하기 힘든 비밀번호를 설정
- 자동 실행 기능을 사용하지 않도록 설정하여 이동식 드라이브의 실행 파일이 자동으로 실행되는 것을
방지 (※ 설정 방법은 [9]의 24번 항목을 참조)
- 개인방화벽 및 백신 사용의 생활화
6. 참조사이트
[1] http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx
[2] http://www.krcert.or.kr/secureNoticeView.do?num=288&seq=-1
[3] http://www.krcert.or.kr/secureNoticeView.do?num=293&seq=-1
[4] http://www.f-secure.com/weblog/archives/00001584.html
[5] http://kr.ahnlab.com/dwVaccineView.ahn?num=80&cPage=1
[6] http://company.hauri.co.kr/news/notice_view.html?news_uid=8956&cpage=1&no=120
[7] http://www.f-secure.com/weblog/archives/00001588.html
[8] http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&DisplayLang=ko
[9] http://support.microsoft.com/kb/962007
[10] http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
[11] http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html
|
