이름

Worm/CodeRed

바이러스 종류

Worm

실행환경

Win NT, Win 2000

증상요약

null

위험등급

null

확산방법

null

치료방법

 

※ 상세 설명

MS Index Server and Indexing Service ISAPI Extension Buffer Overflow Vulnerability 마이크로 소프트의 윈도우즈 NT 4.0 옵션팩과 윈도우즈 2000 계열에 포함되 어 있는 인덱스 서버와 인덱싱 서비스는 공격자가 BOF(Buffer OverFlow) 를 발생시 켜 공격할 수 있는 버그가 있다. 실제로 이러한 버그를 이용한 공격은 기존에도 많이 있 었으며 근래 미국과 중국간의 사이버전에서 중국이 미국 공격을 위해서 제작한 웜 으로 다른 서버들이 경유지로 사용될 수 있는데, 이 과정에서 국내는 물론 전 세계 많 은 웹 서버들이 공격받고 있으며, IIS 를 설치하지 않는 Win 95, 98, ME, Workstation 은 감염대상이 아니다. 매월 1일에서 19일 사이에는 임의의 IP 주소의 80번(HTTP) 포트로 메모리 에 있던 자기자신을 송신하여 감염을 시키려 시도한다. 매월 20일에서 28일 사이에는 www1.whitehouse.gov 사이트를 를 공격하여 서버의 운영을 방해하는데, 만약 감염된 웹 서버가 1,000 대 라면 이 서버들이 동시에 공 격을 하게되는데, 현재 국내의 웹서버들도 많이 감염된 상황이며, 해당 기간이 되면 일제히 www1.whitehouse.gov 사이트를 공격할 것이다.

※ 예방 및 수동 조치 방법

IIS 를 설치한 서버 관리자는 CodeRed 의 감염여부와 상관없이 아래의 주소 에서 패치를 받아 적용하여 미연의 피해를 방지하기 바란다. http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/ms01-033.asp 이외에 갑자기 부하가 많이 걸려서 웹서버가 느려진 경우라면 CodeRed 를 의심해 볼수 있다. CodeRed 는 감염시 메모리에만 상주하므로 재부팅하거나 inetinfo.exe 를 재실행하면 사라지게 된다.

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요