[바이러스]Worm.Win32.Sasser
페이지 정보
글씨크기
본문
[확산 방법]
TCP/1027 포트부터 "LISTENING" 상태로 오픈하고, 랜덤하게 선택된 IP의 TCP/445번 포트로 접속을 시도하기 시작하여, MS04-011의 LSASS 취약점이 존재하는 시스템을 발견하면, 감염 동작을 수행하는데 이 과정에서 cmd.ftp라는 이름으로 FTP 스크립트를 만드는데, 이 스크립트는 감염 대상 시스템이 웜을 다운로드 받고 수행할 수 있는 명령어를 포함하고 있다. 이 과정에서 리모트 Shell 포트 TCP/9996 를 이용한다.
*참고 사항 :
* LSASS(Local security Authority Subsystem Service) 취약점 : Microsoft Security Bulletin MS04-011
- 취약점 정보(한글)
- 취약점 정보(영문)
[감염 후 증상]
1.웜에 감염되면 TCP/1068 및 FTP 서버로 이용 될 TCP/5554 포트가 오픈된다, 그리고 감염시 사용 할 shell 포트 TCP/9996번도 오픈된다.
2.C:\에 win.log라는 이름으로 로그 파일을 생성하는데, 이 로그 파일은 IP 주소를 포함하고 있다.
3.윈도우 시스템 폴더에 xxx_up.exe 파일을 생성시키는데, 여기서 xxx는 임의적인 숫자이다.
예) 1234_up.exe
4567_up.exe
4.일부 시스템에서는 정상적으로 감염되지 않고, 다음 타이틀과 같은 오류만 발생 시키면서 시스템이 재 부팅되기도 한다.
타이틀 : LSA Shell(Export Version)
5.감염되고 일정한 시간이 지나면 CPU 점유율이 100%가 되어 시스템 사용이 어렵게 되는 증상을 보이기도 하며, 웜이 감염을 시도하는 과정에서 과도한 트래픽을 유발하여 내부 네트워크의 트래픽이 증가하여 네트워크가 중단 될 수도 있다.
6.재 부팅시 웜이 다시 실행되도록 하기 위해서 아래의 레지스트리에 등록된다.
- HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run
이 름 : avserve.exe
데이터 : (윈도우 폴더)\avserve.exe
Version 1 : 오후 3:18 2004-05-01 (GMT+9)
분석 보고서 1차 버전 내용이 완성되었다
Version 2 : 오후 5:36 2004-05-01 (GMT+9)
분석 보고서 2차 버전 내용이 완성되었다
치료방법
[바이로봇을 이용한 치료]
- 바이로봇 2004년 5월 1일자 긴급 업데이트 버전부터 이 웜에 대한 진단 및 치료 가능하다.
[윈도우 보안 취약점 패치]
[시작] → [Windows Update] 또는 인터넷 익스플로러의 '도구' -> 'Windows Update(U)', 'http://windowsupdate.microsoft.com' 로 직접 접속하여 패치하거나 아래의 링크를 통해 할수 있다.
- Microsoft Windows NT Workstation 4.0 서비스 팩 6a 업데이트 다운로드
- Microsoft Windows NT Server 4.0 서비스 팩 6a 업데이트 다운로드
- Microsoft Windows NT Server 4.0 Terminal Server Edition 서비스 팩 6 업데이트 다운로드
- Microsoft Windows 2000 서비스 팩 2, Microsoft Windows 2000 서비스 팩 3 및 Microsoft Windows 2000 서비스 팩 4 업데이트 다운로드
- Microsoft Windows XP 및 Microsoft Windows XP 서비스 팩 1 업데이트 다운로드
- Microsoft Windows XP 64-Bit Edition 서비스 팩 1 업데이트 다운로드
- Microsoft Windows XP 64-Bit Edition Version 2003 업데이트 다운로드
- Microsoft Windows Server™ 2003 업데이트 다운로드
- Microsoft Windows Server 2003 64-Bit Edition 업데이트 다운로드
[보안 취약점 검사]
마이크로소프트사의 Microsoft Baseline Security Analyzer(MBSA)를 통해 네트웍에 접속된 시스템의 취약점을 검사할 수 있다.
자세한 정보는 아래의 링크를 참고하길 바란다.
- Microsoft Baseline Security Analyzer(MBSA)
출처 : 하우리(http://www.hauri.co.kr)
TCP/1027 포트부터 "LISTENING" 상태로 오픈하고, 랜덤하게 선택된 IP의 TCP/445번 포트로 접속을 시도하기 시작하여, MS04-011의 LSASS 취약점이 존재하는 시스템을 발견하면, 감염 동작을 수행하는데 이 과정에서 cmd.ftp라는 이름으로 FTP 스크립트를 만드는데, 이 스크립트는 감염 대상 시스템이 웜을 다운로드 받고 수행할 수 있는 명령어를 포함하고 있다. 이 과정에서 리모트 Shell 포트 TCP/9996 를 이용한다.
*참고 사항 :
* LSASS(Local security Authority Subsystem Service) 취약점 : Microsoft Security Bulletin MS04-011
- 취약점 정보(한글)
- 취약점 정보(영문)
[감염 후 증상]
1.웜에 감염되면 TCP/1068 및 FTP 서버로 이용 될 TCP/5554 포트가 오픈된다, 그리고 감염시 사용 할 shell 포트 TCP/9996번도 오픈된다.
2.C:\에 win.log라는 이름으로 로그 파일을 생성하는데, 이 로그 파일은 IP 주소를 포함하고 있다.
3.윈도우 시스템 폴더에 xxx_up.exe 파일을 생성시키는데, 여기서 xxx는 임의적인 숫자이다.
예) 1234_up.exe
4567_up.exe
4.일부 시스템에서는 정상적으로 감염되지 않고, 다음 타이틀과 같은 오류만 발생 시키면서 시스템이 재 부팅되기도 한다.
타이틀 : LSA Shell(Export Version)
5.감염되고 일정한 시간이 지나면 CPU 점유율이 100%가 되어 시스템 사용이 어렵게 되는 증상을 보이기도 하며, 웜이 감염을 시도하는 과정에서 과도한 트래픽을 유발하여 내부 네트워크의 트래픽이 증가하여 네트워크가 중단 될 수도 있다.
6.재 부팅시 웜이 다시 실행되도록 하기 위해서 아래의 레지스트리에 등록된다.
- HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run
이 름 : avserve.exe
데이터 : (윈도우 폴더)\avserve.exe
Version 1 : 오후 3:18 2004-05-01 (GMT+9)
분석 보고서 1차 버전 내용이 완성되었다
Version 2 : 오후 5:36 2004-05-01 (GMT+9)
분석 보고서 2차 버전 내용이 완성되었다
치료방법
[바이로봇을 이용한 치료]
- 바이로봇 2004년 5월 1일자 긴급 업데이트 버전부터 이 웜에 대한 진단 및 치료 가능하다.
[윈도우 보안 취약점 패치]
[시작] → [Windows Update] 또는 인터넷 익스플로러의 '도구' -> 'Windows Update(U)', 'http://windowsupdate.microsoft.com' 로 직접 접속하여 패치하거나 아래의 링크를 통해 할수 있다.
- Microsoft Windows NT Workstation 4.0 서비스 팩 6a 업데이트 다운로드
- Microsoft Windows NT Server 4.0 서비스 팩 6a 업데이트 다운로드
- Microsoft Windows NT Server 4.0 Terminal Server Edition 서비스 팩 6 업데이트 다운로드
- Microsoft Windows 2000 서비스 팩 2, Microsoft Windows 2000 서비스 팩 3 및 Microsoft Windows 2000 서비스 팩 4 업데이트 다운로드
- Microsoft Windows XP 및 Microsoft Windows XP 서비스 팩 1 업데이트 다운로드
- Microsoft Windows XP 64-Bit Edition 서비스 팩 1 업데이트 다운로드
- Microsoft Windows XP 64-Bit Edition Version 2003 업데이트 다운로드
- Microsoft Windows Server™ 2003 업데이트 다운로드
- Microsoft Windows Server 2003 64-Bit Edition 업데이트 다운로드
[보안 취약점 검사]
마이크로소프트사의 Microsoft Baseline Security Analyzer(MBSA)를 통해 네트웍에 접속된 시스템의 취약점을 검사할 수 있다.
자세한 정보는 아래의 링크를 참고하길 바란다.
- Microsoft Baseline Security Analyzer(MBSA)
출처 : 하우리(http://www.hauri.co.kr)
- 이전글2004, 여름성경학교, 위성종합강습 04.05.14
- 다음글대총회 가정봉사부장 초청 가정부흥회(세미나) 04.04.21
댓글목록
등록된 댓글이 없습니다.