악성코드(Conficker 변종) 감염 피해 주의 / 백신

MS08-067 취약점[1] 및 USB 이동저장매체 등으로 전파[2]되는 악성코드 Conficker[3]의 새로운 변종이 추가적으로 발견되었으며, 이 가운데 일부는 HTTP 및 P2P 통신을 통한 추가 악성코드 전파를 시도하므로 PC사용자들의 피해 주의가 필요합니다.

 

[악성코드 피해 증상 [4,5]]

o 임의의 IP로 TCP/UDP 스캔 패킷을 발생시킴

o 매일 임의의 문자열로 생성된 500개의 도메인에 대한 접속 및 추가 악성코드 다운로드 시도

o P2P 네트워크 형성 및 추가 악성코드 다운로드

o microsoft, windowsupdate, hauri, ahnlab 등 보안 관련 특정 문자열이 포함된 도메인들에 대한 DNS 요청을 차단

o procexp, tcpview, wireshark 등 각종 모니터링 도구를 종료시킴

o 다음 윈도우 보안 서비스를 중지/비활성화 시킴

  - Windows Security Center Service (wscsvc)

  - Windows Defender Service (WinDefend)

  - Windows Automatic Update Service (wuauserv)

  - Background Intelligent Transfer Service (BITS)

  - Windows Error Reporting Service (ERSvc / WerSvc)

 

[예방 방법]

Conficker 변종은 MS08-067 취약점, 공유폴더, USB 이동저장매체 등 다양한 형태의 감염경로를 나타냄으로 다음과 같은 조치가 필요합니다.

o 일반 인터넷 이용자

  - MS08-067 보안업데이트[1] 설치

    ※ 현재까지 나온 모든 보안업데이트 적용 권고

    ※ 윈도우 자동 업데이트 설정

       시작 → 제어판 → 자동 업데이트 → 자동(권장) 체크 → 적용 → 확인

  - 개인방화벽 및 백신 사용의 생활화

  - 불필요한 파일 공유는 제거하고, 필요하다면 적절한 권한 제어와 유추하기 힘든 비밀번호 설정

  - 이동식 드라이브의 자동으로 실행 방지

    ※ 파일(usbguard.zip) 다운로드 및 압축해제 후 usbguard.exe 실행

    ※ 프로그램 출처 : 국가사이버안전센터(NCSC)

  - 만우절 등과 같은 특정일을 악용하여 활동 및 전파하는 악성코드가 많으므로, PC 및 인터넷 사용에 있어 각별한 주의가
    요구됨

 

o 네트워크 관리자

  - 운영중인 보안장비에서 탐지가 가능하도록 최신 룰 업데이트

  - 외부로부터 TCP 139, 445 트래픽이 유입이 되지 않도록 차단하고, 기관/기업 내부 네트워크에서도 자체 검토 후
    불필요한 경우 차단

 

[참조사이트]

[1] http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx

[2] http://www.krcert.or.kr/secureNoticeView.do?num=308&seq=-1

[3] http://www.krcert.or.kr/secureNoticeView.do?num=306&seq=-1

[4] http://mtc.sri.com/Conficker/addendumC/
[5] http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.C

----------------- 백 신 ---------------------
악성 봇 감염 확인 및 백신 다운로드
http://www.boho.or.kr/pccheck/pcch_03.jsp?page_id=3