내가찾은 신대륙 넥스트라인

제목

[MS보안] 최신 윈도우즈 취약점을 이용한 zotob웜 감염주의

작성일

2005-08-17 18:35:30

□ 개요

   o zotob 웜은 윈도우즈 시스템의 최신 보안취약점인 "플러그 앤 플레이의 취약점(MS05- 039)"을 이용하여 전파되는 웜으로 국내에 유입 시 피해발생이 예상되오니 주의하시기 바랍니다.

※ 플러그 앤 플레이(PnP) : 시스템에 새 하드웨어를 연결할 때 운영 체제가 이를 자동으로 발견하여 필요한 드라이버를 로드하며 설치하는 기능. 예를 들어, 시스템에 새 마우스를 연결하면 윈도우즈는 플러그 앤 플레이 기능을 이용하여 이를 발견하고 필요한 드라이버를 설치하여 새 마우스를 사용할 수 있도록 합니다.

o zotob 웜의 일부 변종은 이메일을 통해 전파되므로 메일 열람 시 주의하시기 바랍니다.

□ 전파방법

o 윈도우즈 시스템의 "플러그 앤 플레이의 취약점(MS05-039)" 취약점을 패치하지 않은 시스템 을 공격하여 전파

o zotob 웜의 일부 변종은 자체 SMTP 엔진을 이용하여 "Warning!!", "**Warning**", "Hello", "Confirmed...", "Important!" 등의 제목을 갖는 이메일을 발송하여 전파

□ 해당 시스템

o "플러그 앤 플레이의 취약점(MS05-039)" 취약점을 패치하지 않은 윈도우즈 2000 시스템

o 이메일로 전파되는 일부 변종은 대부분의 윈도우즈 시스템(윈도우즈 2000, NT, XP 등)이 해   당됨

□ 피해 증상

o 윈도우즈 "시스템폴더"에 아래의 파일을 복사
   - botzor.exe (변종B:csm.exe ), HAHA.EXE, 2pac.txt
※ 시스템 폴더    윈도우 95/98/ME : C:\Windows\System
                          윈도우 NT/2000 : C:\WinNT\System32
                          윈도우 XP : C:\Windows\System32
o 레지스트리 변경 및 추가(윈도우 재시작시 자동실행 설정)
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    Windows\CurrentVersion\Run
     WINDOWS SYSTEM = "botzor.exe"(변종B:csm.exe)

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
     Windows\CurrentVersion\RunServices
     WINDOWS SYSTEM = "botzor.exe"(변종B:csm.exe)
o 윈도우즈 방화벽 기능을 중지시킨다.
o 특정 IRC서버에 TCP/8080포트를 통해 접속되고 감염시스템에 Tcp/8888포트가 열려
   파일 실행 및 삭제, 메일발송 등의 악의적인 기능이 수행될 수 있음
o 웜 원본 파일 전파를 위한 ftp서비스(tcp/33333포트)를 오픈하고,
   타 시스템의 공격에 성공하면 웜 원본파일이 이 서비스를 통해 발송된다.
o 바이러스 백신 사이트 접속 차단을 위해 시스템폴더\drivers\etc\hosts 파일 변조
    127.0.0.1 www.symantec.com
    127.0.0.1 securityresponse.symantec.com
    127.0.0.1 symantec.com
    127.0.0.1 www.sophos.com
    127.0.0.1 sophos.com
    ...
o 일부 변종은 자체 SMTP 엔진을 사용하여 웜 전파를 위한 대량 메일을 발송한다.

□ 예방 및 대응 방안

o 네트워크 관리자
     - 바이러스 월의 패턴이 최신으로 업데이트 되었는지 확인한다
     - diabl0.turkcoders.net(wait.atillaekici.net) 도메인 쿼리 트래픽을 차단하도록 한다
o 사용자
    - 최신으로 윈도우즈를 패치한다.
    - 출처가 불분명한 메일이나 웜 전파 메일로 의심되는 메일은 읽지 않는다.
    - 백신 사용자는 최신 패턴 업데이트 후 검사 및 치료 한다
□ 참조Site
o http://www.krcert.or.kr/intro/notice_read.jsp?NUM=87&menu=1
o http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
o http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.a.html
o http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.b.html
o Zotob.A 웜 분석 보고서
==============================================================
※ W32.Zotob에 대한 대응 방법
1. W32.Zotob의 특징은 무엇인가?
   A) W32.Zotob웜은 최신의 취약점으로(MS05-039)으로 전파되는 웜이다.
      감염 시 시스템 폴더에 웜 파일 복사 및 레지스트리가 추가되며,
      감염 후 주요 백신사이트(국외)에 접속할수 없으며,
      감염후 tcp/8080포트를 통해 임의의 IRC 서버로 접속을 시도하며,
      웜 원본 파일 전파를 위한 ftp서비스(tcp/33333포트)를 오픈한다.
   B) 일부 변종은 "Warning!!", "**Warning**", "Hello", "Confirmed...", "Important!" 등의
      메일 제목으로 전파된다.
2. 감염 예방 방법은 무엇인가?
   A) 위에서 언급된 취약점(MS05-039)을 패치한다.
      패치사이트 : http://update.microsoft.com
   B) 출처가 불분명한 메일이나 웜 전파 메일로 의심되는 메일은 읽지 않는다.
3. 제 컴퓨터가 감염이 되었는지 확인할 수 있는 방법은 무엇인가?
   A) 시스템 폴더에 botzor.exe, csm.exe, HAHA.EXE, 2pac.txt 파일이 존재하는지 확인하여,
       해당 파일이 존재한다면 감염된 것으로 보아야 한다.
      ※ 시스템 폴더    윈도우 95/98/ME : C:\Windows\System
                              윈도우 NT/2000 : C:\WinNT\System32
                              윈도우 XP : C:\Windows\System32

4. 감염 후, 백신이 없는 경우 수동 해결 방법은 무엇인가?
   A) ① 안전모드로 부팅
      ② 웜이 생성한 레지스트리 삭제
        - 레지스트리 위치
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
          Windows\CurrentVersion\Run
          WINDOWS SYSTEM = "botzor.exe"(변종B:csm.exe)

          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
          Windows\CurrentVersion\RunServices
          WINDOWS SYSTEM = "botzor.exe"(변종B:csm.exe)
      ③ 웜 파일 삭제
        - 위치 : 시스템 폴더
        - 파일명: botzor.exe(csm.exe), HAHA.EXE
      ④ 변조된 hosts 파일 복구
          시스템폴더\drivers\etc\hosts 파일을 텍스트 에디터로 오픈하여
          loopback(127.0.0.1)으로 설정되어 있는 도메인 중 localhost를 제외한 나머지 도메인들을
          제거하고 저장한다.
      ⑤ 재 부팅


	[보안패치] MS 윈도우즈 WMF파일처리 취약점 긴급패치


	[MS보안패치] Microsoft 2005년 08월 보안패치