1. 현황
Win32.Blaster.worm과 같은 보안 취약점을 이용해 전파되는 웜으로 2003년 8월 18일 국내에 유입되었으며, WebDAV취약점으로도 전파된다.
2.감염/피해 대상자
Windows NT/2000/XP 사용자(Windows 95/98/ME는 해당없음)
3.전파 및 피해 증상
- RPC관련 보안패치가 안된 시스템에서는 관련 패치파일을 다운받아 실행하고,
Win32.Blaster.worm이 존재하면 강제종료후 파일을 삭제
- TCP 135번의 RPC 취약점을 이용해 공격 시도.
- 웜의 본체인 Dllhost.exe (10,240 바이트)파일을 생성하고
tftpd.exe파일을 svchost.exe (19,728 바이트)라는 이름 변경.
- TCP 707 포트 오픈
- 부팅시마다 바이러스가 실행되도록 레지스트리 값에 추가
4.대응방침
- WINS Client 서비스를 중지.
i)시작 -> 설정 -> 제어판 -> 관리도구 -> 서비스 아이콘을 더블 클릭
ii)서비스명중 WINS Client가 있는지 확인 후 있다면 해당 서비스를 중지
- 웜을 활동중지 절차.
i)'Ctrl+Alt+Delete' 동시에 누름
ii)'작업관리자'를 선택
iii)'프로세스'를 클릭한
iv)이미지 이름에서 Dllhost.exe를 선택.
v)'프로세스 끝내기'를 클릭한 후 해당 프로그램 종료.
- 아래의 폴더에 생성된 파일(Dllhost.exe (10,240 바이트))을 삭제
C:\WINNT\System32\wins (Windows 2000, NT 시스템의 경우)
C:\Windows\System32\wins (Windows XP 시스템의 경우)
- Windows의 버전에 맞춰 취약점에 대한 패치 설치
- 공지사항 등 게시판의 게시 내용에 대한 문의는 해당 게시물에 표기된 연락처나 담당부서(VOC)로 문의해 주시기 바랍니다.