RPC DCOM 취약점을 이용한 Blaster 웜 확산중! > 공지사항

본문 바로가기

공지사항

RPC DCOM 취약점을 이용한 Blaster 웜 확산중!

페이지 정보

작성자 마스터 쪽지보내기 작성일2003.08.12 12:29
글씨크기

본문

증상- 135번 포트 트래픽 발생한다.
- 시스템이 재부팅되기도 한다.
- 자세한 증상은 현재 분석중이다.
 
내용Win32/Blaster.worm.6176 은 Windows NT 계열 ( NT/2000/XP/2003 )의 DCOM RPC 취약성을 이용해 전파되는 웜이다.

취약성을 가진 윈도우 시스템에서 감염되며 감염된 시스템은 135번 포트(epmap)의 트래픽이 현저하게 증가한다.


- 실행 후 증상

현재 보고된 파일이름은 MSBLAST.EXE ( 6,176 바이트 )로 이 웜에 감염되면 IP를 스캐닝해 DCOM RPC 취약성이 있는 시스템을 찾아 공격시도 후 웜 파일을 복사 후 다음 레지스트리 내용을 추가해 웜이 자동실행되게한다.

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
에 Windows auto update 에 msblast.exe 등록

Blaster_01.jpg

시스템에 따라 재부팅되는 경우도 보고되고 있다.

감염된 시스템을 NETSTAT 로 확인하면 여러 포트가 열려 있음을 알 수 있다. 현재까지 이 포트의 목적은 알려지지 않았다

Blaster_02.jpg

여러 IP에 135번 포트로 SYN_SENT 패킷을 보내는 걸 볼 수 있다.
이는 취약성이 존재하는 시스템을 찾기 위한 과정이다.

Blaster_03.jpg


* 이 정보는 2003년 8월 12일 10시 45분에 최종 작성되었다. 현재 자세한 정보는 분석중이다.
 
치료방법- 금일 긴급업데이트된 긴급엔진(2003.08.12.00)으로 업데이트하여 진단/치료(삭제)한다.

- 시스템이 몇분마다 재부팅되는 현상이 발생하는 시스템에서는 다음과 같이 수동조치한다.

1. 네트워크 선을 뽑고 윈도우 부팅시 [F8] 을 눌러 "안전모드"로 부팅한다.

2. "윈도우 작업 관리자" ( Ctrl+Alt+Del 를 동시에 누른 후 작업 관리자(T) 선택)를 선택 후 프로세스에서 MSBlast.exe 파일을 찾아 종료 시킨다.

Blaster_04.jpg

3. 탐색기에서 MSBLAST.EXE 파일을 찾아 삭제한다. 보기(V) -> 탐색 창(E) -> 검색(S)의 파일 및 폴더 찾기에서 MSBLAST.EXE 선택한다.

4. 찾은 MSBLAST.EXE 파일 삭제을 삭제한다.

5. 감염되지 않은 시스템에서 사용하는 OS 버전에 맞는 다음 패치를 다운 받아 플로피 디스크 등에 담아 복사한다.

- Windows 2000 (한글버전)
   
MS사에서 받기 AhnLab에서 받기

- Windows 2000 (영문버전)
   
MS사에서 받기 AhnLab에서 받기


- Windows XP (한글버전)
   
MS사에서 받기 AhnLab에서 받기

- Windows XP (영문버전)
   
MS사에서 받기 AhnLab에서 받기

- Windows NT Workstation 4.0 (한글버전)
   
MS사에서 받기 AhnLab에서 받기

- Windows NT Workstation 4.0 (영문버전)
   
MS사에서 받기 AhnLab에서 받기

- Windows NT Server 4.0, Terminal Server Edition (영문버전)
   
MS사에서 받기 AhnLab에서 받기

- Windows Server 2003 (영문버전)
   
MS사에서 받기 AhnLab에서 받기

6. 감염된 시스템을 재부팅한 후 플로피 디스크에 담은 패치를 하드디스크로 복사한다.

7. 복사한 패치파일을 실행하여 패치를 적용한 후 네트워크 선을 꽂고 재부팅 한다.
 
참고사항- 윈도우 2000 계열(NT/2000/XP) 시스템 사용자는 아래와 같은 방법으로 Mircorsoft RPC 버퍼 오퍼플로우 취약점에 대한 패치를 적용한다.

[패치적용 방법]

1. 윈도우 [실행]-[Windows Update]메뉴를 선택합니다.
2. '업데이트 검색'을 선택합니다.
3. 설치할 중요 업데이트 항목에서 '823980' 를 선택하여 설치합니다. 이때 '823980' 뿐 아니라, 다른 보안 업데이트 항목도 함께 설치하기를 권장합니다.

Microsoft RPC 버퍼 오버플로우 취약점 자세한 보기

댓글목록

등록된 댓글이 없습니다.