1. 바이러스 명칭 : Win32.Agobot.worm
2. 대상 : Window NT/2000/Xp 사용자
3. 내용 MS 社 윈도우즈의 다양한 취약점을 통해 전파되며, 감염시 외부 네트웍의 IRC 서버를 통해 시스템의 제어가 가능하며, 시스템 정보(게임 CD-Key등)이 유출될 수 있다. 또한 재감염을 위한 네트웍 스캔으로 인한 트래픽의 증가로 네트웍의 속도가 저하될 수 있고 RPC DCOM 관련 알려진 악성 프로그램이 실행중이라면 시스템을 강제 종료한다.
4. 감염시 피해 증상 가. 웜은 다음과 같이 윈도우 시스템 폴더에 (일반적으로 c:\windows\system, c:\winnt\system32) 다음과 같은 파일명으로 복사된다.
파일명 : svchost.exe (201,216 byte) 나. 웜은 비주얼 C++ 로 작성되었으며 실행압축 프로그램을 이용하여 실행압축된 형태이다. 압축을 해제한 경우 크기는 약 520KB 내외이다. 웜은 실행시 다음과 같은 DLL 파일을 필요로 하며 없으면 실행되지 않는다.
파일명 : MSVCP60.DLL 다. 실행되면 재부팅시에도 웜이 실행하기 위해 다음의 내용이 레지스트리에 추가된다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Config Loader = scvhost.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Config Loader = scvhost.exe 라. 바이러스의 전파를 위해 임의의 IP주소를 생성한 후, 관련 취약점의 공격 트래픽을 발생시킨다.
5. 치료 방법 가. c:\windows\system나 c:\winnt\system32 폴더를 확인하여
다음 파일이 있을 경우 삭제한다.
파일명 : svchost.exe (201,216 byte) 나.
레지스트리에서 다음 부분을 제거한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunConfig Loader = scvhost.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Config Loader = scvhost.exe 다. 다음 문서를 참고하여 사용중인 Windows의 버전에 맞게
취약점 패치를 설치한다. 1) 로케이터 서비스의 체크되지 않은 버퍼로 인해 코드가 실행될 수 있음 (Microsoft Security Bulletin MS03-001)
O/S | 다운 로드 | 사용 O/S 지원 언어 |
Windows NT 4.0 | 패치다운로드 | 모든 언어 |
Windows NT 4.0, Terminal Server Edition | 패치다운로드 | 영어 |
Windows 2000 | 패치다운로드 | 모든 언어 |
Windows XP(32 bit) | 패치다운로드 | 모든 언어 |
Windows XP(64 bit) | 패치다운로드 | 영어 |
2) Windows Web Component의 체크되지 않은 버퍼로 인한 코드 실행 취약점 (Microsoft Security Bulletin MS03-007)
O/S | 다운 로드 | 사용 O/S 지원 언어 |
Windows NT 4.0 | 패치다운로드 | 모든 언어 |
Windows NT 4.0, Terminal Server Edition | 패치다운로드 | 영어 |
Windows 2000 | 패치다운로드 | 모든 언어 |
Windows XP(32 bit) | 패치다운로드 | 모든 언어 |
Windows XP(64 bit) | 패치다운로드 | 영어 |
3) RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제 (Microsoft Security Bulletin MS03-026)
O/S | 다운 로드 | 사용 O/S 지원 언어 |
Windows NT 4.0 | 패치다운로드 | 모든 언어 |
Windows NT 4.0, Terminal Server Edition | 패치다운로드 | 영어 |
Windows 2000 | 패치다운로드 | 모든 언어 |
Windows XP(32 bit) | 패치다운로드 | 모든 언어 |
Windows XP(64 bit) | 패치다운로드 | 영어 |
6. 참고 사이트 : 한국 정보 진흥원
관련 공지사항 바로가기 7. 문의 사항 : 정보통신원 시스템 운영과 (서울) 02-709-2989 (천안) 041-550-1723
- 공지사항 등 게시판의 게시 내용에 대한 문의는 해당 게시물에 표기된 연락처나 담당부서(VOC)로 문의해 주시기 바랍니다.