게시판 뷰
게시판 뷰페이지
Win32_Agobot_worm 바이러스 예보
작성자 박종욱
날짜 2003.09.15
조회수 5,746
1. 바이러스 명칭 : Win32.Agobot.worm 2. 대상 : Window NT/2000/Xp 사용자 3. 내용 MS 社 윈도우즈의 다양한 취약점을 통해 전파되며, 감염시 외부 네트웍의 IRC 서버를 통해 시스템의 제어가 가능하며, 시스템 정보(게임 CD-Key등)이 유출될 수 있다. 또한 재감염을 위한 네트웍 스캔으로 인한 트래픽의 증가로 네트웍의 속도가 저하될 수 있고 RPC DCOM 관련 알려진 악성 프로그램이 실행중이라면 시스템을 강제 종료한다. 4. 감염시 피해 증상 가. 웜은 다음과 같이 윈도우 시스템 폴더에 (일반적으로 c:\windows\system, c:\winnt\system32) 다음과 같은 파일명으로 복사된다. 파일명 : svchost.exe (201,216 byte) 나. 웜은 비주얼 C++ 로 작성되었으며 실행압축 프로그램을 이용하여 실행압축된 형태이다. 압축을 해제한 경우 크기는 약 520KB 내외이다. 웜은 실행시 다음과 같은 DLL 파일을 필요로 하며 없으면 실행되지 않는다. 파일명 : MSVCP60.DLL 다. 실행되면 재부팅시에도 웜이 실행하기 위해 다음의 내용이 레지스트리에 추가된다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Config Loader = scvhost.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Config Loader = scvhost.exe 라. 바이러스의 전파를 위해 임의의 IP주소를 생성한 후, 관련 취약점의 공격 트래픽을 발생시킨다. 5. 치료 방법 가. c:\windows\system나 c:\winnt\system32 폴더를 확인하여 다음 파일이 있을 경우 삭제한다. 파일명 : svchost.exe (201,216 byte) 나. 레지스트리에서 다음 부분을 제거한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunConfig Loader = scvhost.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Config Loader = scvhost.exe 다. 다음 문서를 참고하여 사용중인 Windows의 버전에 맞게 취약점 패치를 설치한다. 1) 로케이터 서비스의 체크되지 않은 버퍼로 인해 코드가 실행될 수 있음 (Microsoft Security Bulletin MS03-001)
O/S 다운 로드 사용 O/S 지원 언어
Windows NT 4.0 패치다운로드 모든 언어
Windows NT 4.0, Terminal Server Edition 패치다운로드 영어
Windows 2000 패치다운로드 모든 언어
Windows XP(32 bit) 패치다운로드 모든 언어
Windows XP(64 bit) 패치다운로드 영어
2) Windows Web Component의 체크되지 않은 버퍼로 인한 코드 실행 취약점 (Microsoft Security Bulletin MS03-007)
O/S 다운 로드 사용 O/S 지원 언어
Windows NT 4.0 패치다운로드 모든 언어
Windows NT 4.0, Terminal Server Edition 패치다운로드 영어
Windows 2000 패치다운로드 모든 언어
Windows XP(32 bit) 패치다운로드 모든 언어
Windows XP(64 bit) 패치다운로드 영어
3) RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제 (Microsoft Security Bulletin MS03-026)
O/S 다운 로드 사용 O/S 지원 언어
Windows NT 4.0 패치다운로드 모든 언어
Windows NT 4.0, Terminal Server Edition 패치다운로드 영어
Windows 2000 패치다운로드 모든 언어
Windows XP(32 bit) 패치다운로드 모든 언어
Windows XP(64 bit) 패치다운로드 영어
6. 참고 사이트 : 한국 정보 진흥원 관련 공지사항 바로가기 7. 문의 사항 : 정보통신원 시스템 운영과 (서울) 02-709-2989 (천안) 041-550-1723