쉽게 시작하는 비즈니스 토탈 IT 서비스, 아이티이지

보안/패치

MS08-067 취약점을 이용한 악성코드 변종 피해 주의

2009. 01. 29

□ 개요

  o MS08-067 취약점[1, 2]을 악용하는 악성코드에 의해 국내 일부 인터넷 사용자 PC의 인터넷 접속
    장애사례[3]가 발생한 이래 해당 악성코드의 변종에 감염된 PC의 숫자가 급격히 증가해[4] 주의가
    요구됨

o Conficker 또는 Downadup으로 명명된 악성코드는 MS08-067 취약점 이외에도 네트워크 공유에
대한 비밀번호 무작위 대입 공격과 USB와 같은 이동형 저장장치를 통해 전파됨

□ 악성코드의 전파

  o MS08-067 업데이트[1]를 설치하지 않은 시스템을 스캔하여 악성코드에 감염시킴
  o 단순한 비밀번호가 설정된 네트워크 공유에 대한 대입 공격
  o 이동형 저장장치의 자동 실행(Autorun)을 통해 전파

□ 악성코드 피해 증상

  o 임의의 IP로 과도한 스캔 패킷을 발생시켜 HTTP, FTP등 TCP 기반의 통신 장애 유발
  o 특정 문자열이 포함된 도메인들에 대한 DNS 요청을 모니터링하여 해당 도메인들에 대한
    액세스 차단

□ 조치 방법

  o 악성코드 치료 전용백신 이용
    - 안철수연구소
       http://download.ahnlab.com/vaccine/v3conficker.exe
    - 하우리
       http://download.hauri.net/DownSource/down/dwn_antivirus_down.html?uid=57
    - F-Downadup Removal Tool
       ftp://ftp.antivirus.fi/anti-virus/tools/beta/f-downadup.zip
    - Symantec
       http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe
    - BitDefender
       http://download.bitdefender.com/resources/files/Download/en/anti-downadup.zip
    - 마이크로소프트 악성 소프트웨어 제거 도구(MSRT)
       http://download.microsoft.com/download/4/A/A/4AA524C6-239D-47FF-860B-5B397199CBF8/windows-kb890830-v2.6.exe

  o 수동 복구[9]
    - 단계가 많고 복잡해서 설정 상의 실수로 시스템 오류를 일으킬 수 있으므로  전용 백신의 사용을
     권장함
    - 수동 복구가 필요한 경우라면 [9]을 참조

□ 예방 방법

  o 네트워크 관리자
    - 운영 중인 보안장비에서 탐지가 가능하도록 최신 룰 업데이트
    - 외부로부터 TCP 139, 445 트래픽이 유입이 되지 않도록 차단하고, 기관/기업 내부
       네트워크에서도 자체 검토 후 불필요한 경우 차단

  o 일반 인터넷 이용자
    - MS08-067 보안업데이트[1] 설치
      ※ 현재까지 나온 모든 보안업데이트 적용 권고
      ※ 윈도우 자동 업데이트 설정
         시작 → 제어판 → 자동 업데이트 → 자동(권장) 체크 → 적용 → 확인
    - 불필요한 파일 공유는 제거하고, 필요하다면 적절한 권한 제어와 유추하기 힘든 비밀번호를 설정
    - 자동 실행 기능을 사용하지 않도록 설정하여 이동식 드라이브의 실행 파일이 자동으로 실행되는
       것을 방지  ※ 설정 방법은 [9]의 24번 항목을 참조
    - 개인방화벽 및 백신 사용의 생활화

□ 참조사이트

[1] http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx
[2] http://www.krcert.or.kr/secureNoticeView.do?num=288&seq=-1
[3] http://www.krcert.or.kr/secureNoticeView.do?num=293&seq=-1
[4] http://www.f-secure.com/weblog/archives/00001584.html
[5] http://kr.ahnlab.com/dwVaccineView.ahn?num=80&cPage=1
[6] http://company.hauri.co.kr/news/notice_view.html?news_uid=8956&cpage=1&no=120
[7] http://www.f-secure.com/weblog/archives/00001588.html
[8] http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&DisplayLang=ko
[9] http://support.microsoft.com/kb/962007
[10] http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
[11] http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html

이전 글	[MS 보안업데이트]2009년 2월 MS 정기 보안업데이트 권고 2009. 02. 12
다음 글	[MS 보안업데이트]2009년 1월 MS 정기 보안업데이트 권고 2009. 01. 14

무엇이든 물어보세요

아이티이지 전문가가 궁금하신 점을 쉽고 빠르게 해결해 드리겠습니다.

고객센터 1600-8324

내선번호

내선 1 서버 / IDC
내선 2 클라우드
내선 3 관리대행 / ITO
내선 4 도메인
내선 5 보안 서비스 문의
내선 6 문자 / 카카오비즈메시지
내선 7 Microsoft365
내선 8 마케팅/서비스 제휴
내선 9 홈페이지 제작
내선 0 기타서비스
내선 11 긴급 장애

평일 9:00~18:00 (IDC 긴급 장애처리 24시간 운영)

FAX 02-6264-8321

문의하기