1. 현황
MS社 윈도우즈 DCOM RPC의 취약점을 이용한 W32.Blaster 웜 발생 및 해외에서 급속도로 전파
2. Worm 동작 원리
MS DCOM RPC의 취약점을 보유한 MS 윈도우 2000 또는 XP 사용자(서버 또는 PC)의 135번 포트를 공격
- 패치가 이루어지지 않은 시스템의 TCP/135번 포트 공격
- 공격 성공시 TCP/4444번 포트를 통하여 관리자 권한 획득
- 관리자 권한 획득이후, tftp(UDP/69번 포트)를 이용하여 웜 파일(msblaster.exe)을 다운로드
- 다운받은 파일을 실행하고 재부팅시마다 자동으로 실행되도록 레지스트리 수정
3. Worm 의 예상 파급 효과
8월 15일에서 12월 31일까지 MS사의 패치 사이트(windowsupdate.com)에 대한 DoS(Denial of Service)을 시도한다고 알려지고 있어 8월 15일 이전에 패치 필요
4. 대응 방침
※ 수동제거 방법
- 해당 프로세스(msblaster.exe)를 찾아 정지시킨다.
- 해당 레지스트리(HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\windows auto update)를 찾아 삭제한다.
- 다운로드 파일(msblaster.exe)을 찾아 삭제한다.
- 재감염을 방지하기 위하여 패치(MS03-026)을 반드시 적용한다.
※ 참고사이트 : http://www.certcc.or.kr/announce/Blaster.html
- 공지사항 등 게시판의 게시 내용에 대한 문의는 해당 게시물에 표기된 연락처나 담당부서(VOC)로 문의해 주시기 바랍니다.