Home | Data Center | Contact US | Login

Á¦¸ñ [MSº¸¾È] ÃֽŠÀ©µµ¿ìÁî Ãë¾àÁ¡À» ÀÌ¿ëÇÑ zotob¿ú °¨¿°ÁÖÀÇ
ÀÛ¼ºÀÏ 2005-08-17 18:35:30


¡à °³¿ä

   o zotob ¿úÀº À©µµ¿ìÁî ½Ã½ºÅÛÀÇ ÃֽŠº¸¾ÈÃë¾àÁ¡ÀÎ "Ç÷¯±× ¾Ø Ç÷¹ÀÌÀÇ Ãë¾àÁ¡(MS05- 039)"À» ÀÌ¿ëÇÏ¿© ÀüÆĵǴ ¿úÀ¸·Î ±¹³»¿¡ À¯ÀÔ ½Ã ÇÇÇع߻ýÀÌ ¿¹»óµÇ¿À´Ï ÁÖÀÇÇϽñ⠹ٶø´Ï´Ù.

¡Ø Ç÷¯±× ¾Ø Ç÷¹ÀÌ(PnP) : ½Ã½ºÅÛ¿¡ »õ Çϵå¿þ¾î¸¦ ¿¬°áÇÒ ¶§ ¿î¿µ üÁ¦°¡ À̸¦ ÀÚµ¿À¸·Î ¹ß°ßÇÏ¿© ÇÊ¿äÇÑ µå¶óÀ̹ö¸¦ ·ÎµåÇÏ¸ç ¼³Ä¡ÇÏ´Â ±â´É. ¿¹¸¦ µé¾î, ½Ã½ºÅÛ¿¡ »õ ¸¶¿ì½º¸¦ ¿¬°áÇϸé À©µµ¿ìÁî´Â Ç÷¯±× ¾Ø Ç÷¹ÀÌ ±â´ÉÀ» ÀÌ¿ëÇÏ¿© À̸¦ ¹ß°ßÇÏ°í ÇÊ¿äÇÑ µå¶óÀ̹ö¸¦ ¼³Ä¡ÇÏ¿© »õ ¸¶¿ì½º¸¦ »ç¿ëÇÒ ¼ö ÀÖµµ·Ï ÇÕ´Ï´Ù.

  o zotob ¿úÀÇ ÀϺΠº¯Á¾Àº À̸ÞÀÏÀ» ÅëÇØ ÀüÆĵǹǷΠ¸ÞÀÏ ¿­¶÷ ½Ã ÁÖÀÇÇϽñ⠹ٶø´Ï´Ù.

¡à ÀüÆĹæ¹ý

  o À©µµ¿ìÁî ½Ã½ºÅÛÀÇ "Ç÷¯±× ¾Ø Ç÷¹ÀÌÀÇ Ãë¾àÁ¡(MS05-039)" Ãë¾àÁ¡À» ÆÐÄ¡ÇÏÁö ¾ÊÀº ½Ã½ºÅÛ À» °ø°ÝÇÏ¿© ÀüÆÄ

  o zotob ¿úÀÇ ÀϺΠº¯Á¾Àº ÀÚü SMTP ¿£ÁøÀ» ÀÌ¿ëÇÏ¿© "Warning!!", "**Warning**", "Hello", "Confirmed...", "Important!" µîÀÇ Á¦¸ñÀ» °®´Â À̸ÞÀÏÀ» ¹ß¼ÛÇÏ¿© ÀüÆÄ 

¡à ÇØ´ç ½Ã½ºÅÛ

  o "Ç÷¯±× ¾Ø Ç÷¹ÀÌÀÇ Ãë¾àÁ¡(MS05-039)" Ãë¾àÁ¡À» ÆÐÄ¡ÇÏÁö ¾ÊÀº À©µµ¿ìÁî 2000 ½Ã½ºÅÛ

  o À̸ÞÀÏ·Î ÀüÆĵǴ ÀϺΠº¯Á¾Àº ´ëºÎºÐÀÇ À©µµ¿ìÁî ½Ã½ºÅÛ(À©µµ¿ìÁî 2000, NT, XP µî)ÀÌ ÇØ   ´çµÊ

¡à ÇÇÇØ Áõ»ó

  o À©µµ¿ìÁî "½Ã½ºÅÛÆú´õ"¿¡ ¾Æ·¡ÀÇ ÆÄÀÏÀ» º¹»ç
     - botzor.exe (º¯Á¾B:csm.exe ), HAHA.EXE, 2pac.txt
  ¡Ø ½Ã½ºÅÛ Æú´õ    À©µµ¿ì 95/98/ME : C:\Windows\System
                          À©µµ¿ì NT/2000 : C:\WinNT\System32
                          À©µµ¿ì XP : C:\Windows\System32 
  o ·¹Áö½ºÆ®¸® º¯°æ ¹× Ãß°¡(À©µµ¿ì Àç½ÃÀ۽à ÀÚµ¿½ÇÇà ¼³Á¤)
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
     Windows\CurrentVersion\Run
     WINDOWS SYSTEM = "botzor.exe"(º¯Á¾B:csm.exe)
 
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
     Windows\CurrentVersion\RunServices
     WINDOWS SYSTEM = "botzor.exe"(º¯Á¾B:csm.exe) 
  o À©µµ¿ìÁî ¹æÈ­º® ±â´ÉÀ» ÁßÁö½ÃŲ´Ù. 
  o ƯÁ¤ IRC¼­¹ö¿¡ TCP/8080Æ÷Æ®¸¦ ÅëÇØ Á¢¼ÓµÇ°í °¨¿°½Ã½ºÅÛ¿¡ Tcp/8888Æ÷Æ®°¡ ¿­·Á 
    ÆÄÀÏ ½ÇÇà ¹× »èÁ¦, ¸ÞÀÏ¹ß¼Û µîÀÇ ¾ÇÀÇÀûÀÎ ±â´ÉÀÌ ¼öÇàµÉ ¼ö ÀÖÀ½ 
  o ¿ú ¿øº» ÆÄÀÏ ÀüÆĸ¦ À§ÇÑ ftp¼­ºñ½º(tcp/33333Æ÷Æ®)¸¦ ¿ÀÇÂÇÏ°í,
     Ÿ ½Ã½ºÅÛÀÇ °ø°Ý¿¡ ¼º°øÇÏ¸é ¿ú ¿øº»ÆÄÀÏÀÌ ÀÌ ¼­ºñ½º¸¦ ÅëÇØ ¹ß¼ÛµÈ´Ù. 
  o ¹ÙÀÌ·¯½º ¹é½Å »çÀÌÆ® Á¢¼Ó Â÷´ÜÀ» À§ÇØ ½Ã½ºÅÛÆú´õ\drivers\etc\hosts ÆÄÀÏ º¯Á¶
    127.0.0.1 www.symantec.com
    127.0.0.1 securityresponse.symantec.com
    127.0.0.1 symantec.com
    127.0.0.1 www.sophos.com
    127.0.0.1 sophos.com
    ... 
  o ÀϺΠº¯Á¾Àº ÀÚü SMTP ¿£ÁøÀ» »ç¿ëÇÏ¿© ¿ú ÀüÆĸ¦ À§ÇÑ ´ë·® ¸ÞÀÏÀ» ¹ß¼ÛÇÑ´Ù.

¡à ¿¹¹æ ¹× ´ëÀÀ ¹æ¾È

  o ³×Æ®¿öÅ© °ü¸®ÀÚ
     - ¹ÙÀÌ·¯½º ¿ùÀÇ ÆÐÅÏÀÌ ÃÖ½ÅÀ¸·Î ¾÷µ¥ÀÌÆ® µÇ¾ú´ÂÁö È®ÀÎÇÑ´Ù
     - diabl0.turkcoders.net(wait.atillaekici.net) µµ¸ÞÀÎ Äõ¸® Æ®·¡ÇÈÀ» Â÷´ÜÇϵµ·Ï ÇÑ´Ù
  o »ç¿ëÀÚ
    - ÃÖ½ÅÀ¸·Î À©µµ¿ìÁ ÆÐÄ¡ÇÑ´Ù.
    - Ãâó°¡ ºÒºÐ¸íÇÑ ¸ÞÀÏÀ̳ª ¿ú ÀüÆÄ ¸ÞÀÏ·Î ÀǽɵǴ ¸ÞÀÏÀº ÀÐÁö ¾Ê´Â´Ù.
    - ¹é½Å »ç¿ëÀÚ´Â ÃֽŠÆÐÅÏ ¾÷µ¥ÀÌÆ® ÈÄ °Ë»ç ¹× Ä¡·á ÇÑ´Ù
¡à ÂüÁ¶Site
  o http://www.krcert.or.kr/intro/notice_read.jsp?NUM=87&menu=1
  o http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
  o http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.a.html
  o http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.b.html
  o Zotob.A ¿ú ºÐ¼® º¸°í¼­
==============================================================
¡Ø W32.Zotob¿¡ ´ëÇÑ ´ëÀÀ ¹æ¹ý
1. W32.ZotobÀÇ Æ¯Â¡Àº ¹«¾ùÀΰ¡?
   A) W32.Zotob¿úÀº ÃÖ½ÅÀÇ Ãë¾àÁ¡À¸·Î(MS05-039)À¸·Î ÀüÆĵǴ ¿úÀÌ´Ù.
      °¨¿° ½Ã ½Ã½ºÅÛ Æú´õ¿¡ ¿ú ÆÄÀÏ º¹»ç ¹× ·¹Áö½ºÆ®¸®°¡ Ãß°¡µÇ¸ç,
      °¨¿° ÈÄ ÁÖ¿ä ¹é½Å»çÀÌÆ®(±¹¿Ü)¿¡ Á¢¼ÓÇÒ¼ö ¾øÀ¸¸ç,
      °¨¿°ÈÄ tcp/8080Æ÷Æ®¸¦ ÅëÇØ ÀÓÀÇÀÇ IRC ¼­¹ö·Î Á¢¼ÓÀ» ½ÃµµÇϸç,
      ¿ú ¿øº» ÆÄÀÏ ÀüÆĸ¦ À§ÇÑ ftp¼­ºñ½º(tcp/33333Æ÷Æ®)¸¦ ¿ÀÇÂÇÑ´Ù.
   B) ÀϺΠº¯Á¾Àº "Warning!!", "**Warning**", "Hello", "Confirmed...", "Important!" µîÀÇ
      ¸ÞÀÏ Á¦¸ñÀ¸·Î ÀüÆĵȴÙ.
2. °¨¿° ¿¹¹æ ¹æ¹ýÀº ¹«¾ùÀΰ¡?
   A) À§¿¡¼­ ¾ð±ÞµÈ Ãë¾àÁ¡(MS05-039)À» ÆÐÄ¡ÇÑ´Ù.
      ÆÐÄ¡»çÀÌÆ® : http://update.microsoft.com
   B) Ãâó°¡ ºÒºÐ¸íÇÑ ¸ÞÀÏÀ̳ª ¿ú ÀüÆÄ ¸ÞÀÏ·Î ÀǽɵǴ ¸ÞÀÏÀº ÀÐÁö ¾Ê´Â´Ù.
3. Á¦ ÄÄÇ»ÅÍ°¡ °¨¿°ÀÌ µÇ¾ú´ÂÁö È®ÀÎÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀº ¹«¾ùÀΰ¡?
   A) ½Ã½ºÅÛ Æú´õ¿¡ botzor.exe, csm.exe, HAHA.EXE, 2pac.txt ÆÄÀÏÀÌ Á¸ÀçÇÏ´ÂÁö È®ÀÎÇÏ¿©,
       ÇØ´ç ÆÄÀÏÀÌ Á¸ÀçÇÑ´Ù¸é °¨¿°µÈ °ÍÀ¸·Î º¸¾Æ¾ß ÇÑ´Ù.
      ¡Ø ½Ã½ºÅÛ Æú´õ    À©µµ¿ì 95/98/ME : C:\Windows\System
                              À©µµ¿ì NT/2000 : C:\WinNT\System32
                              À©µµ¿ì XP : C:\Windows\System32
    
4. °¨¿° ÈÄ, ¹é½ÅÀÌ ¾ø´Â °æ¿ì ¼öµ¿ ÇØ°á ¹æ¹ýÀº ¹«¾ùÀΰ¡?
   A) ¨ç ¾ÈÀü¸ðµå·Î ºÎÆÃ
      ¨è ¿úÀÌ »ý¼ºÇÑ ·¹Áö½ºÆ®¸® »èÁ¦
        - ·¹Áö½ºÆ®¸® À§Ä¡
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
          Windows\CurrentVersion\Run
          WINDOWS SYSTEM = "botzor.exe"(º¯Á¾B:csm.exe)
 
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
          Windows\CurrentVersion\RunServices
          WINDOWS SYSTEM = "botzor.exe"(º¯Á¾B:csm.exe)
      ¨é ¿ú ÆÄÀÏ »èÁ¦
        - À§Ä¡ : ½Ã½ºÅÛ Æú´õ
        - ÆÄÀϸí:  botzor.exe(csm.exe), HAHA.EXE
      ¨ê º¯Á¶µÈ hosts ÆÄÀÏ º¹±¸
          ½Ã½ºÅÛÆú´õ\drivers\etc\hosts ÆÄÀÏÀ» ÅؽºÆ® ¿¡µðÅÍ·Î ¿ÀÇÂÇÏ¿©
          loopback(127.0.0.1)À¸·Î ¼³Á¤µÇ¾î ÀÖ´Â µµ¸ÞÀÎ Áß localhost¸¦ Á¦¿ÜÇÑ ³ª¸ÓÁö µµ¸ÞÀεéÀ»
          Á¦°ÅÇÏ°í ÀúÀåÇÑ´Ù.
      ¨ë Àç ºÎÆÃ
  [º¸¾ÈÆÐÄ¡] MS À©µµ¿ìÁî WMFÆÄÀÏó¸® Ãë¾àÁ¡ ±ä±ÞÆÐÄ¡
  [MSº¸¾ÈÆÐÄ¡] Microsoft 2005³â 08¿ù º¸¾ÈÆÐÄ¡








ȸ»ç¼Ò°³ °³ÀÎÁ¤º¸Ãë±Þ¹æħ ÀÌ¿ë¾à°ü À̸ÞÀÏÁÖ¼Ò ¹«´Ü¼öÁý°ÅºÎ CONTACT US IDC ¾àµµ
ȸ»ç¼Ò°³ °³ÀÎÁ¤º¸Ãë±Þ¹æħ ÀÌ¿ë¾à°ü À̸ÞÀÏÁÖ¼Ò ¹«´Ü¼öÁý°ÅºÎ CONTACT US IDC ¾àµµ ȸ»ç¼Ò°³ °³ÀÎÁ¤º¸Ãë±Þ¹æħ ÀÌ¿ë¾à°ü À̸ÞÀÏÁÖ¼Ò ¹«´Ü¼öÁý°ÅºÎ CONTACT US IDC ¾àµµ