2006-11-20
안녕하세요 호스트센터(주) 시스템관리부 시스템보안팀입니다.
니다. 금번 11월 Workstation Service 취약점이 발견되었습니다. 해당 시스템 운영하시는 고객분 께서는 반드시 아래내용을 숙지하시고 업데이트를 실시 하시기 바랍니다.
문의 : 02-6265-1108
담당자 : 김 봉기
-----------------------------------------------------------------
□ 개요
Workstation Service 취약점 [MS06-070]을 악용하는 악성코드 감염피해가
발생하여 주의필요.
이 취약점은 최근(2006.11.15)에 패치가 발표되었으므로, 다수의 사용자가
아직 패치적용을 하지않았을 것으로 추정됨.
□ 영향
o 패치가 안되어 있는 취약PC일 경우, 네트워크에 연결만 되어 있어도
악성코드에 감염될수 있음.
□ 예방방법
o 최신 윈도우 업데이트 실시
☞ 참고: MS06-070 취약점을 이용하는 것으로 확인된 악성코드 예
o 파일명: wincomm.exe
o 전파 방법:
- Workstation Service 취약점 [MS06-070]
- MS-SQL 암호 취약점
※업데이트를 통하여 전파기법은 추가될수 있음.
▶ 전파를 위한 공격 빈도 및 트래픽 발생률
- 공격 빈도: 분당 1836 회 공격 발생
참고: Sasser.A 1000 회
Bobax.C 5,524 회
Welchia.B 2,400 회
- Scan 트래픽 발생률: 64 byte X 1836 = 117,504 byte
※ 공격자의 명령전달 및 PC성능 조건에 따라서 결과값은 차이가 있을수도 있음
o 감염 시 악성행위
- 파일 및 레지스트리변경
웜은 재 부팅시에도 계속 활동하기 위하여 아래와 같이 파일 및 레지스트리를 생성함
. 시스템 폴더에 wincomm.exe 생성
. HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
"시스템폴더"\wincomm.exe 등록
. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
"시스템폴더"\wincomm.exe 등록
. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Windows Communicator for NT/XP "시스템폴더"\wincomm.exe 등록
. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Windows Communicator for NT/XP "시스템폴더"\wincomm.exe 등록
- 악성 기능
- 명령전달 통한 원격 통제
* 원격 통제 사이트 및 채널
. 사이트: new.cheapdf.com (66.111.227.92)
. 포트: TCP 4545
. 채널: rbotv2
* 명령 전달 통한 악성행위
. Scan 명령: 공격 IP 대역지정, Thread 지정, Delay 지정 등
. 키로깅
. Syn 공격
. HttpDoS 공격
. 리모트 Shell
o 특이 사항: 감염 시 아래의 문자열을 보여주는 윈도우가 생성
To run this file you must use an Linux emulator.
Error code: (-2394)
Error discriptionL LLIBKCUF / File has remove his self.
o 감염시 치료방법
Step1. 작업관리자를 ("ALt+Ctrl+Del") 실행 시켜 프로세스 탭에서 wincomm.exe 제거
Stpe2. 시스템 폴더내에 생성된 wincomm.exe 파일 삭제
-----------------------------------------------------------------
참조 : 인터넷침해사고대응센터