이름

Trojan-W32/VirtualRoot

바이러스 종류

Trojan

실행환경

Win NT, Win 2000

증상요약

null

위험등급

null

확산방법

null

치료방법

MS 사이트에서 패치를 적용하지 않은 경우이고, C 드라이브나 D 드라이브 루트에서 explorer.exe 파일이 발견된 경우라면 아래와 같은 방법으로 치료하기 바란다. 1. 삭제할 파일들 \inetpub\scripts\root.exe \Program Files\Common Files\system\msadc\root.exe \explorer.exe (먼저 도스모드에서 attrib \explorer.exe -h -a -r 하여 속 성을 변경한다.) 2. 레지스트리 수정 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Current Version\WinLogon\SFCDisable 키 값을 0 으로 변경 합니다. HKEY_LOCAL_MACHINE\System\CurrentControl\Set\Services\W3SVC\Parameters \Virtual Roots/Scripts HKEY_LOCAL_MACHINE\System\CurrentControl\Set\Services\W3SVC\Parameters \Virtual Roots/msadc 위 레지스트리의 값을 217 에서 204, 205 로 변경합니다. HKEY_LOCAL_MACHINE\System\CurrentControl\Set\Services\W3SVC\Parameters \Virtual Roots/c HKEY_LOCAL_MACHINE\System\CurrentControl\Set\Services\W3SVC\Parameters \Virtual Roots/d 위 레지스트리를 삭제한다. 3. IIS 를 설치한 서버 관리자는 CodeRed 의 감염여부와 상관없이 아래의 주소에서 패치를 받아 적용하여 미연의 피해를 방지하기 바란다. http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/ms01-033.asp 이외에 갑자기 부하가 많이 걸려서 웹서버가 느려진 경우라면 CodeRed 를 의심해 볼수 있다. CodeRed 는 감염시 메모리에만 상주하므로 재부팅하거나 inetinfo.exe 를 재실행하면 사라지게 된다.  

※ 상세 설명

Worm/CodeRed_II 가 생성하는 트로이목마 프로그램으로 C 드라이브나 D 드 라이브 루트에explorer.exe 파일을 생성하는데 실행되면 윈도우 폴더의 정 상파일인 explorer.exe를 실행한다. 이후 레지스트리 변경을 통해서 원격지 에서 C 드라이브와 D 드라이브에 접근이 가능하게 된다. 이외에 자세한 설명은 Worm/CodeRed_II 정보를 참고하기 바란다. 매월 1일에서 19일 사이에는 임의의 IP 주소의 80번(HTTP) 포트로 메모리 에 있던 자기자신을 송신하여 감염을 시키려 시도한다. 매월 20일에서 28일 사이에는 www1.whitehouse.gov 사이트를 를 공격하여 서버의 운영을 방해하는데, 만약 감염된 웹 서버가 1,000 대 라면 이 서버 들이 동시에 공격을 하게되는데, 현재 국내의 웹서버들도 많이 감염된 상황 이며, 해당 기간이 되면 일제히 www1.whitehouse.gov사이트를 공격할 것이 다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요