쉽게 시작하는 비즈니스 토탈 IT 서비스, 아이티이지

보안/패치

MS08-067 취약점을 이용한 악성코드 피해 주의요망

2008. 11. 25

□ 개요
  o MS08-067 취약점[1, 2]을 악용하는 악성코드에 의한 국내 일부 인터넷 사용자 PC의 인터넷 접속
장애 사례가 발생하여 주의가 요구됨
    ※ MS08-067 취약점은 윈도우 Server Service에 존재하는 원격코드실행 취약점으로 자세한
       내용은 보안공지[2]를 참조

□ 악성코드 전파 및 피해 증상
  o MS08-067 업데이트[3]를 설치하지 않은 시스템을 스캔하여 악성코드에 감염시킴
  o 전송된 악성코드는 시스템 폴더에 복사 후에 서비스로 등록되어 자동 실행
  o 임의의 IP로 과도한 스캔 패킷을 발생시켜 HTTP, FTP등 TCP 기반의 통신 장애 유발

□ 조치 방법
o 근본 조치 방법
    - 악성코드 치료 백신 이용
    - MS08-067 보안업데이트[3] 설치
       ※ 현재까지 나온 모든 보안업데이트 적용 권고
    - 윈도우 자동 업데이트 설정
      시작 → 제어판 → 자동 업데이트 → 자동(권장) 체크 → 적용 → 확인

o 임시 조치 방법
    - 윈도우 시스템 폴더에서 파일 사이즈가 62,976 byte 이고, md5 값이 "d9cb288f317124a0e63
      e3405ed290765"인 랜덤.dll 파일을 찾아서 삭제

     ① 윈도우 시스템 폴더로 이동
       > C:WinntSystem32(Windows NT/2000)
       > C:WindowsSystem32(Windows XP)

② 파일 사이즈가 62,976 byte인 파일 찾기
> dir | findstr "62,976"

③ md5 값 조회
※ md5 값은 인터넷에 공개된 도구[4]를 활용하여 확인 가능

     ④ 안전모드 부팅 후
       > 윈도우 시스템 폴더로 이동하여 확인된 파일 삭제
       > regedit를 이용하여 레지스트리에서 확인된 파일명에 해당하는 서비스 삭제

⑤ 재부팅

□ 예방 방법
o 네트워크 관리자
    - 운영 중인 보안장비에서 탐지가 가능하도록 최신 룰 업데이트
    - 외부로부터 TCP 139, 445 트래픽이 유입이 되지 않도록 차단하고, 기관/기업 내부
      네트워크에서도 자체 검토 후 불필요한 경우 차단

o 일반 인터넷 이용자
    - 윈도우에서 최신 보안업데이트 설치 및 개인방화벽 사용
    - 백신 사용 및 윈도우 보안업데이트 생활화
      ※ ISP에서는 인터넷 가입 고객에게 필히 최신 보안업데이트를 설치하도록 안내,불필요한 445
         포트는 자체 검토 후 차단

□ 참조사이트
[1] http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx
[2] http://www.krcert.or.kr/secureNoticeView.do?num=288&seq=-1
[3] http://www.pc-tools.net/win32/md5sums/

이전 글	[MS 보안업데이트]2008년 12월 MS 정기 보안업데이트 권고 2008. 12. 10
다음 글	[MS 보안업데이트]2008년 11월 MS 월간 보안업데이트 권고 2008. 11. 12

무엇이든 물어보세요

아이티이지 전문가가 궁금하신 점을 쉽고 빠르게 해결해 드리겠습니다.

고객센터 1600-8324

내선번호

내선 1 서버 / IDC
내선 2 클라우드
내선 3 관리대행 / ITO
내선 4 도메인
내선 5 보안 서비스 문의
내선 6 문자 / 카카오비즈메시지
내선 7 Microsoft365
내선 8 마케팅/서비스 제휴
내선 9 홈페이지 제작
내선 0 기타서비스
내선 11 긴급 장애

휴일 긴급 연락처010-3124-8320

평일 9:00~18:00 (IDC 긴급 장애처리 24시간 운영)

FAX 02-6264-8321

문의하기