Login

로그인해주세요

장바구니

기술지원

apps바로가기

shopping_bag

MS08-067 취약점을 이용한 악성코드 변종 피해 주의

2009-01-28 

안녕하세요 호스트센터(주) 시스템관리부 시스템보안팀입니다. 


MS08-067 취약점을 이용한 악성코드 변종 피해 주의에 대한 공지 드립니다. 해당 시스템 운영하시는 고객분께서는 반드시 아래내용을 숙지하시고 업데이트를 실시 하시기 바랍니다 

문의 : 02-6265-1108 
담당자 : 김봉기 주임

□ 개요

  o MS08-067 취약점[1, 2]을 악용하는 악성코드에 의해 국내 일부 인터넷 사용자 PC의 인터넷 접속
    장애사례[3]가 발생한 이래 해당 악성코드의 변종에 감염된 PC의 숫자가 급격히 증가해[4] 주의가
    요구됨

  o Conficker 또는 Downadup으로 명명된 악성코드는 MS08-067 취약점 이외에도 네트워크 공유에
     대한 비밀번호 무작위 대입 공격과 USB와 같은 이동형 저장장치를 통해 전파됨

□ 악성코드의 전파

  o MS08-067 업데이트[1]를 설치하지 않은 시스템을 스캔하여 악성코드에 감염시킴
  o 단순한 비밀번호가 설정된 네트워크 공유에 대한 대입 공격
  o 이동형 저장장치의 자동 실행(Autorun)을 통해 전파

□ 악성코드 피해 증상

  o 임의의 IP로 과도한 스캔 패킷을 발생시켜 HTTP, FTP등 TCP 기반의 통신 장애 유발
  o 특정 문자열이 포함된 도메인들에 대한 DNS 요청을 모니터링하여 해당 도메인들에 대한
     액세스 차단

□ 조치 방법

  o 악성코드 치료 전용백신 이용
    - 안철수연구소  
       http://download.ahnlab.com/vaccine/v3conficker.exe
    - 하우리
       http://download.hauri.net/DownSource/down/dwn_antivirus_down.html?uid=57
    - F-Downadup Removal Tool 
       ftp://ftp.antivirus.fi/anti-virus/tools/beta/f-downadup.zip
    - Symantec
       http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe
    - BitDefender
       http://download.bitdefender.com/resources/files/Download/en/anti-downadup.zip
    - 마이크로소프트 악성 소프트웨어 제거 도구(MSRT)
       http://download.microsoft.com/download/4/A/A/4AA524C6-239D-47FF-860B-5B397199CBF8/windows-kb890830-v2.6.exe


  o 수동 복구[9]
    - 단계가 많고 복잡해서 설정 상의 실수로 시스템 오류를 일으킬 수 있으므로  전용 백신의 사용을
       권장함
    - 수동 복구가 필요한 경우라면 [9]을 참조

 

□ 예방 방법

  o 네트워크 관리자
    - 운영 중인 보안장비에서 탐지가 가능하도록 최신 룰 업데이트
    - 외부로부터 TCP 139, 445 트래픽이 유입이 되지 않도록 차단하고, 기관/기업 내부
       네트워크에서도 자체 검토 후 불필요한 경우 차단

  o 일반 인터넷 이용자 
    - MS08-067 보안업데이트[1] 설치
      ※ 현재까지 나온 모든 보안업데이트 적용 권고
      ※ 윈도우 자동 업데이트 설정
         시작 → 제어판 → 자동 업데이트 → 자동(권장) 체크 → 적용 → 확인
    - 불필요한 파일 공유는 제거하고, 필요하다면 적절한 권한 제어와 유추하기 힘든 비밀번호를 설정
    - 자동 실행 기능을 사용하지 않도록 설정하여 이동식 드라이브의 실행 파일이 자동으로 실행되는
       것을 방지  ※ 설정 방법은 [9]의 24번 항목을 참조
    - 개인방화벽 및 백신 사용의 생활화

□ 참조사이트

[1] http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx
[2] http://www.krcert.or.kr/secureNoticeView.do?num=288&seq=-1
[3] http://www.krcert.or.kr/secureNoticeView.do?num=293&seq=-1
[4] http://www.f-secure.com/weblog/archives/00001584.html
[5] http://kr.ahnlab.com/dwVaccineView.ahn?num=80&cPage=1
[6] http://company.hauri.co.kr/news/notice_view.html?news_uid=8956&cpage=1&no=120
[7] http://www.f-secure.com/weblog/archives/00001588.html
[8] http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&DisplayLang=ko
[9] http://support.microsoft.com/kb/962007
[10] http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
[11] http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html

참조 : 인터넷침해사고대응센터