게시판 뷰
게시판 뷰페이지
Win32.Welchia.worm 바이러스 예보
작성자 박종욱
날짜 2003.08.19
조회수 4,626

1. 현황

Win32.Blaster.worm과 같은 보안 취약점을 이용해 전파되는 웜으로 2003년 8월 18일 국내에 유입되었으며, WebDAV취약점으로도 전파된다.

2.감염/피해 대상자

Windows NT/2000/XP 사용자(Windows 95/98/ME는 해당없음)

3.전파 및 피해 증상

  • RPC관련 보안패치가 안된 시스템에서는 관련 패치파일을 다운받아 실행하고,
    Win32.Blaster.worm이 존재하면 강제종료후 파일을 삭제
  • TCP 135번의 RPC 취약점을 이용해 공격 시도.
  • 웜의 본체인 Dllhost.exe (10,240 바이트)파일을 생성하고
    tftpd.exe파일을 svchost.exe (19,728 바이트)라는 이름 변경.
  • TCP 707 포트 오픈
  • 부팅시마다 바이러스가 실행되도록 레지스트리 값에 추가

4.대응방침

  • WINS Client 서비스를 중지.
    i)시작 -> 설정 -> 제어판 -> 관리도구 -> 서비스 아이콘을 더블 클릭
    ii)서비스명중 WINS Client가 있는지 확인 후 있다면 해당 서비스를 중지
  • 웜을 활동중지 절차.
    i)'Ctrl+Alt+Delete' 동시에 누름
    ii)'작업관리자'를 선택
    iii)'프로세스'를 클릭한
    iv)이미지 이름에서 Dllhost.exe를 선택.
    v)'프로세스 끝내기'를 클릭한 후 해당 프로그램 종료.
  • 아래의 폴더에 생성된 파일(Dllhost.exe (10,240 바이트))을 삭제
    C:\WINNT\System32\wins (Windows 2000, NT 시스템의 경우)
    C:\Windows\System32\wins (Windows XP 시스템의 경우)
  • Windows의 버전에 맞춰 취약점에 대한 패치 설치