2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- Worm-W32/BoBox.22528
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.
<br>
<br>
마이크로 소프트 MS04-011 보안패치가 안된 사용자는 다시 재감염 되므로
다음 링크에서 해당 운영체제에 맞는 보안패치를 받아 설치 해야 한다.
<br>
<a href="http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp"><font
color="blue">MS04-011 보안패치 페이지 설명(한글)</a><br><br>
<a href="http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=ko"><font
color="blue">Windows XP 패치 다운로드</a><br><br>
<a href="http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=ko"><font
color="blue">Windows 2000 패치 다운로드</font></a><br><br>
만약 패치를 받는 동안 윈도우 재부팅 카운드가 나오면 다음과 같이
중지시키도록 한다.<br><br>
[시작]->[실행] -> Shutdown -a 입력후 [enter] <br><br>
<br><br>
[참고]<br>
마이크로 소프트 사에서는 네트웍 보안 취약점에 대한 검사를 실행해 주는 MBSA(Microsoft Baseline Security Analyzer)
프로그램을 제공하고 있으므로 확인해 보기 바란다.<br><br>
<a href="http://www.microsoft.com/korea/technet/security/tools/Tools/MBSAhome.asp"><font
color="blue">http://www.microsoft.com/korea/technet/security/tools/Tools/MBSAhome.asp</font></a><br><br>
- ※ 상세 설명
- 이 웜은 Worm-W32/Sasser.15872 처럼 마이크로 소프트 사에서 발표한
2004년 4월 보안 패치중 MS04-011 패치가 안된 컴퓨터를 대상으로 작동 한다.
해외에서 5월 18일 부터 전파되기 시작 하였으며 TCP 445번 포트의 이상 트레픽을 일으킨다.
또한 TCP 445번 을 이용하여 타겟의 버퍼 오버런을 발생 하고, 감염된 시스템은 HTTP 서버가
된다.
그리고 일부 시스템에서는 인터넷 익스플로러 사용시 페이지를 찾을수 없다는 메시지와 함께
웹 서핑이 어려워지기도 한다.
[특징]
MS04-011 패치가 안된 시스템을 찾기 위해 감염된 시스템으로부터
TCP 5000 포트를 이용, 임의의 IP 대역으로 접속을 시도 하며, 취약점 시스템을 발견할 경우
svc.exe(22,528byte) 파일을 다운로드 시키고 ~(숫자).tmp (ex : ~1.tmp, ~4.tmp 등등)을
생성하여 explore 에 inject 시킨다.
그리고 윈도우의 시스템 폴더(win 2000, NT : c:\Winnt\system32, Win XP : c;\windows\system32)에
(랜덤 파일명).exe 웜 파일이 만들어 진다.
(ex : ujlzzdgh.exe )
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에
(win2000, NT의 경우)
(랜덤 파일명) = c:\winnt\system32\(랜덤 파일명).exe
(WinXP의 경우)
(랜덤 파일명) = c:\windows\(랜덤 파일명).exe
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요