2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
터보백신 소개
백신 패턴 업데이트
바이러스 통계
바이러스 DB
악성코드 DB
이름
Worm-W32/Sasser.15872
바이러스 종류
Worm
실행환경
Windows
증상요약
null
위험등급
null
확산방법
null
치료방법
터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. <br> <br> 마이크로 소프트 MS04-011 보안패치가 안된 사용자는 다시 재감염 되므로 다음 링크에서 해당 운영체제에 맞는 보안패치를 받아 설치 해야 한다. <br><br> <a href="http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp"><font color="blue">MS04-011 보안패치 페이지 설명(한글)</font></a><br><br> <a href="http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=ko"><font color="blue">Windows XP 패치 다운로드</font></a><br><br> <a href="http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=ko"><font color="blue">Windows 2000 패치 다운로드</font></a><br><br> 만약 패치를 받는 동안 윈도우 재부팅 카운드가 나오면 다음과 같이 중지시키도록 한다.<br><br> [시작]->[실행] -> Shutdown -a 입력후 [enter] <br><br> <br><br> <a href="http://www.everyzone.com/popup/20040502/Sasser_worm.htm"><font color="red"><b>[마이크로 소프트 4월 보안패치 자세히 보기]</b></font></a><br><br> <br> [참고]<br> 마이크로 소프트 사에서는 네트웍 보안 취약점에 대한 검사를 실행해 주는 MBSA(Microsoft Baseline Security Analyzer) 프로그램을 제공하고 있으므로 확인해 보기 바란다.<br><br> <a href="http://www.microsoft.com/korea/technet/security/tools/Tools/MBSAhome.asp"><font color="blue">http://www.microsoft.com/korea/technet/security/tools/Tools/MBSAhome.asp</font></a><br><br> 상세설명  진단/치료방법
※ 상세 설명
이 웜은 마이크로 소프트 사에서 발표한 2004년 4월 보안 패치중 MS04-011 패치가 안된 컴퓨터를 대상으로 해외에서 4월 30일 부터 전파되기 시작 하였으며 TCP 445번 포트의 이상 트레픽을 일으킨다. 또한 CPU가 100% 사용되 시스템이 느려지며 시스템 자동 종료 카운트가 발생 한다. 그리고 일부 시스템에서는 인터넷 익스플로러 사용시 페이지를 찾을수 없다는 메시지와 함께 웹 서핑이 어려워지기도 한다. [특징] MS04-011 패치가 안된 시스템을 찾기 위해 감염된 시스템으로부터 임의의 IP 대역으로 접속을 시도 하며, 취약점 시스템을 발견할 경우 해당 시스템은 다음과 같은 오류 메시지 박스를 뜨운다. "C:\WINNT\system32\lsass.exe''''''''''''''''''''''''''''''''이(가) 예상하지 않게 상태 코드 128(으)로 종료되었습니다. 지금 시스템을 종료하고 다시 시작할 것입니다" 그런 다음 Worm-W32/Blaster 와 같이 시스템 종료 1분 카운트에 들어 간다. 웜이 실행 되면 다음과 같이 윈도우 폴더 (win 2000, NT : c:\Winnt, win XP : c:\windows)에 avserve.exe 파일이 생성된다. 그리고 윈도우의 시스템 폴더(win 2000, NT : c:\Winnt\system32, Win XP : c;\windows\system32)에 숫자와 _up으로 조합된 웜 파일이 만들어 진다. (ex : 12345_up.exe ) 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 (win2000, NT의 경우) avserve.exe = c:\winnt\avserve.exe (WinXP의 경우) avserve.exe = c:\windows\avserve.exe
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
이전글
W32/Klez.E@mm
다음글
W32/Netsky.17920@mm
목록