단국대학교

1. 현황

MS社 윈도우즈 DCOM RPC의 취약점을 이용한 W32.Blaster 웜 발생 및 해외에서 급속도로 전파

2. Worm 동작 원리

MS DCOM RPC의 취약점을 보유한 MS 윈도우 2000 또는 XP 사용자(서버 또는 PC)의 135번 포트를 공격

• 패치가 이루어지지 않은 시스템의 TCP/135번 포트 공격
  
• 공격 성공시 TCP/4444번 포트를 통하여 관리자 권한 획득
  
• 관리자 권한 획득이후, tftp(UDP/69번 포트)를 이용하여 웜 파일(msblaster.exe)을 다운로드
  
• 다운받은 파일을 실행하고 재부팅시마다 자동으로 실행되도록 레지스트리 수정

3. Worm 의 예상 파급 효과

8월 15일에서 12월 31일까지 MS사의 패치 사이트(windowsupdate.com)에 대한 DoS(Denial of Service)을 시도한다고 알려지고 있어 8월 15일 이전에 패치 필요

4. 대응 방침

• 일반 pc사용자 및 MS 윈도우즈 서버 사용자 패치 다운로드
  
• ISP 및 네트워크 운영자
  - TCP/135, TCP/4444 차단
  - UDP/137, UDP/138, TCP/139, TCP/UDP/445, TCP/593 차단 권고
• 감염시 조치사항
  - 최신 백신 시용 또는 수동으로 제거

※ 수동제거 방법

• 해당 프로세스(msblaster.exe)를 찾아 정지시킨다.
  
• 해당 레지스트리(HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\windows auto update)를 찾아 삭제한다.
  
• 다운로드 파일(msblaster.exe)을 찾아 삭제한다.
  
• 재감염을 방지하기 위하여 패치(MS03-026)을 반드시 적용한다.
  

※ 참고사이트 : http://www.certcc.or.kr/announce/Blaster.html