개요
MS08-067 취약점[1, 2]을 악용하는 악성코드에 의한 국내 일부 인터넷 사용자 PC의 인터넷 접속장애
사례가 발생하여 주의가 요구됨

※ MS08-067 취약점은 윈도우 Server Service에 존재하는 원격코드실행 취약점으로 자세한 내용은
    보안공지[2]를 참조

악성코드 전파 및 피해 증상
o MS08-067 업데이트[3]를 설치하지 않은 시스템을 스캔하여 악성코드에 감염시킴
o 전송된 악성코드는 시스템 폴더에 복사 후에 서비스로 등록되어 자동 실행
o 임의의 IP로 과도한 스캔 패킷을 발생시켜 HTTP, FTP등 TCP 기반의 통신 장애 유발

조치 방법
o 근본 조치 방법
- 악성코드 치료 백신 이용
- MS08-067 보안업데이트[3] 설치
  ※ 현재까지 나온 모든 보안업데이트 적용 권고
- 윈도우 자동 업데이트 설정
   시작 → 제어판 → 자동 업데이트 → 자동(권장) 체크 → 적용 → 확인

o 임시 조치 방법
- 윈도우 시스템 폴더에서 파일 사이즈가 62,976 byte 이고, 
   md5 값이 d9cb288f317124a0e63e3405ed290765"인 랜덤.dll 파일을 찾아서 삭제 

① 윈도우 시스템 폴더로 이동     C:\Winnt\System32(Windows NT/2000)     C:\Windows\System32(Windows XP) ② 파일 사이즈가 62,976 byte인 파일 찾기     dir | findstr "62,976" ③ md5 값 조회     md5 값은 인터넷에 공개된 도구[4]를 활용하여 확인 가능 ④ 안전모드 부팅 후     윈도우 시스템 폴더로 이동하여 확인된 파일 삭제     regedit를 이용하여 레지스트리에서 확인된 파일명에 해당하는 서비스 삭제     ⑤ 재부팅

예방 방법
o 네트워크 관리자
- 운영 중인 보안장비에서 탐지가 가능하도록 최신 룰 업데이트
- 외부로부터 TCP 139, 445 트래픽이 유입이 되지 않도록 차단하고, 
   기관/기업 내부 네트워크에서도 자체 검토 후 불필요한 경우 차단

o 일반 인터넷 이용자 
- 윈도우에서 최신 보안업데이트 설치 및 개인방화벽 사용
- 백신 사용 및 윈도우 보안업데이트 생활화

※ ISP에서는 인터넷 가입 고객에게 필히 최신 보안업데이트를 설치하도록 안내,
    불필요한 445 포트는 자체 검토 후 차단

참조사이트
[1] http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx
[2] http://www.krcert.or.kr/secureNoticeView.do?num=288&seq=-1
[3] http://www.pc-tools.net/win32/md5sums/

문의 : ☏ 02-1544-5455   - 넥스트라인 기술부
넥스트라인은 앞으로도 양질의 서비스제공을 위해 최선을 다하겠습니다.
 
감사합니다.