 [ÃßõÆÁ]Worm.Win32.Sasser.15872
Á¦¸ñ ¾øÀ½
W32.Sasser.Worm[Symantec], W32/Sasser.worm[McAfee], WORM_SASSER.A[Trend],
Win32/Sasser.worm.15872[Ahnlab]
---------------------------------------------------------------------
[È®»ê ¹æ¹ý]
TCP/1027 Æ÷Æ®ºÎÅÍ "LISTENING" »óÅ·Π¿ÀÇÂÇÏ°í, ·£´ýÇÏ°Ô ¼±ÅÃµÈ IPÀÇ TCP/4
45¹ø Æ÷Æ®·Î Á¢¼ÓÀ» ½ÃµµÇϱ⠽ÃÀÛÇÏ¿©,
MS04-011ÀÇ LSASS Ãë¾àÁ¡ÀÌ Á¸ÀçÇÏ´Â ½Ã½ºÅÛÀ» ¹ß°ßÇϸé, °¨¿° µ¿ÀÛÀ» ¼öÇàÇϴµ¥ ÀÌ °úÁ¤
¿¡¼ cmd.ftp¶ó´Â À̸§À¸·Î FTP
½ºÅ©¸³Æ®¸¦ ¸¸µå´Âµ¥, ÀÌ ½ºÅ©¸³Æ®´Â °¨¿° ´ë»ó ½Ã½ºÅÛÀÌ ¿úÀ» ´Ù¿î·Îµå ¹Þ°í ¼öÇàÇÒ ¼ö ÀÖ´Â
¸í·É¾î¸¦ Æ÷ÇÔÇÏ°í ÀÖ´Ù. ÀÌ °úÁ¤¿¡¼ ¸®¸ðÆ®
Shell Æ÷Æ® TCP/9996 ¸¦ ÀÌ¿ëÇÑ´Ù.
*Âü°í »çÇ× :
* LSASS(Local security Authority Subsystem Service) Ãë¾àÁ¡ : Microsoft Security
Bulletin MS04-011
[Ãë¾àÁ¡ Á¤º¸]
---------------------------------------------------------------------
[°¨¿° ÈÄ Áõ»ó]
1.¿ú¿¡ °¨¿°µÇ¸é TCP/1068 ¹× FTP ¼¹ö·Î ÀÌ¿ë µÉ TCP/5554 Æ÷Æ®°¡ ¿ÀǵȴÙ, ±×¸®°í °¨¿°
½Ã »ç¿ë ÇÒ shell Æ÷Æ®
TCP/9996¹øµµ ¿ÀǵȴÙ.
2.C:\¿¡ win.log¶ó´Â À̸§À¸·Î ·Î±× ÆÄÀÏÀ» »ý¼ºÇϴµ¥, ÀÌ ·Î±× ÆÄÀÏÀº IP ÁÖ¼Ò¸¦ Æ÷ÇÔÇÏ°í
ÀÖ´Ù.
3.À©µµ¿ì ½Ã½ºÅÛ Æú´õ¿¡ xxx_up.exe ÆÄÀÏÀ» »ý¼º½ÃÅ°´Âµ¥, ¿©±â¼ xxx´Â ÀÓÀÇÀûÀÎ ¼ýÀÚÀÌ´Ù.
¿¹) 1234_up.exe
4567_up.exe
4.ÀϺΠ½Ã½ºÅÛ¿¡¼´Â Á¤»óÀûÀ¸·Î °¨¿°µÇÁö ¾Ê°í, ´ÙÀ½ ŸÀÌƲ°ú °°Àº ¿À·ù¸¸ ¹ß»ý ½ÃÅ°¸é¼ ½Ã
½ºÅÛÀÌ Àç ºÎÆõDZ⵵ ÇÑ´Ù.
ŸÀÌƲ : LSA Shell(Export Version)
5.°¨¿°µÇ°í ÀÏÁ¤ÇÑ ½Ã°£ÀÌ Áö³ª¸é CPU Á¡À¯À²ÀÌ 100%°¡ µÇ¾î ½Ã½ºÅÛ »ç¿ëÀÌ ¾î·Æ°Ô µÇ´Â Áõ
»óÀ» º¸À̱⵵ Çϸç, ¿úÀÌ °¨¿°À» ½ÃµµÇÏ´Â
°úÁ¤¿¡¼ °úµµÇÑ Æ®·¡ÇÈÀ» À¯¹ßÇÏ¿© ³»ºÎ ³×Æ®¿öÅ©ÀÇ Æ®·¡ÇÈÀÌ Áõ°¡ÇÏ¿© ³×Æ®¿öÅ©°¡ Áß´Ü µÉ
¼öµµ ÀÖ´Ù.
6.Àç ºÎÆýà ¿úÀÌ ´Ù½Ã ½ÇÇàµÇµµ·Ï Çϱâ À§Çؼ ¾Æ·¡ÀÇ ·¹Áö½ºÆ®¸®¿¡ µî·ÏµÈ´Ù.
- HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run
ÀÌ ¸§ : avserve.exe
µ¥ÀÌÅÍ : (À©µµ¿ì Æú´õ)\avserve.exe
Version 1 : ¿ÀÈÄ 3:18 2004-05-01 (GMT+9)
ºÐ¼® º¸°í¼ 1Â÷ ¹öÀü ³»¿ëÀÌ ¿Ï¼ºµÇ¾ú´Ù
Version 2 : ¿ÀÈÄ 5:36 2004-05-01 (GMT+9)
ºÐ¼® º¸°í¼ 2Â÷ ¹öÀü ³»¿ëÀÌ ¿Ï¼ºµÇ¾ú´Ù
---------------------------------------------------------------------
Ä¡·á¹æ¹ý
[À©µµ¿ì º¸¾È Ãë¾àÁ¡ ÆÐÄ¡]
[½ÃÀÛ] ¡æ [Windows Update] ¶Ç´Â ÀÎÅÍ³Ý ÀͽºÇ÷η¯ÀÇ `µµ±¸` -> `Windows Update(U)
`, `http://windowsupdate.microsoft.com`
·Î Á÷Á¢ Á¢¼ÓÇÏ¿© ÆÐÄ¡Çϰųª ¾Æ·¡ÀÇ ¸µÅ©¸¦ ÅëÇØ ÇÒ¼ö ÀÖ´Ù.
- Microsoft Windows NT Workstation 4.0 ¼ºñ½º ÆÑ 6a
¾÷µ¥ÀÌÆ® ´Ù¿î·Îµå
- Microsoft Windows NT Server 4.0 ¼ºñ½º ÆÑ 6a
¾÷µ¥ÀÌÆ® ´Ù¿î·Îµå
- Microsoft Windows NT Server 4.0 Terminal Server Edition ¼ºñ½º ÆÑ 6
¾÷µ¥ÀÌÆ® ´Ù¿î·Îµå
- Microsoft Windows 2000 ¼ºñ½º ÆÑ 2, Microsoft Windows 2000 ¼ºñ½º ÆÑ 3 ¹× Microsoft
Windows 2000 ¼ºñ½º ÆÑ 4
¾÷µ¥ÀÌÆ® ´Ù¿î·Îµå
- Microsoft Windows XP ¹× Microsoft Windows XP ¼ºñ½º ÆÑ 1
¾÷µ¥ÀÌÆ® ´Ù¿î·Îµå
- Microsoft Windows XP 64-Bit Edition ¼ºñ½º ÆÑ 1
¾÷µ¥ÀÌÆ® ´Ù¿î·Îµå
- Microsoft Windows XP 64-Bit Edition Version 2003
¾÷µ¥ÀÌÆ® ´Ù¿î·Îµå
- Microsoft Windows Server¢â 2003
¾÷µ¥ÀÌÆ® ´Ù¿î·Îµå
- Microsoft Windows Server 2003 64-Bit Edition
¾÷µ¥ÀÌÆ® ´Ù¿î·Îµå
¡¡ |
|
No, 81