작성자:미남닷컴
편집자:엔시스(sis@sis.pe.kr)
Conficker 변종이 요즘 확산되면서
피해가 증가 하고 있다고 합니다.
그래서 여러 사이트를 참조하여 간단한 증상 및 대응법을 정리 해보았습니다.
더 자세한 기술문서나 대응법 등은 링크들을 참조 하시면 될거 같습니다.
Conficker 변종 악성코드 감염으로 인한 피해 주의
http://www.krcert.net/secureNoticeView.do?seq=-1&num=320
Conficker Worm Targets Microsoft Windows Systems
http://www.us-cert.gov/current/index.html#conficker_worm_information
2009년 3월 27일 금요일
Conficker에 변종 확산이 일어 나고 있습니다.
이에 대해 여러 사이트에서는 경고를 주고 있구요.
Conficker 웜은 다음과 같이 여러가지 형태로 명명되고 있습니다.
TA08-297A (other)
CVE-2008-4250 (other)
VU827267 (other)
Win32/Conficker.A (CA)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
WORM_DOWNAD (Trend Micro)
Confickr (other)
우선 us-cert 에서 살펴 보면
* http://www.symantec.com/norton/theme.jsp?themeid=conficker_worm&inid=us_ghp_link_conficker_worm
위의 두 해당 사이트를 접속할 수 없다면 conficker 감염에 의심을 가져야 한다고 나왔습니다.
마이크로소프트에서 살펴 보면
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate
위 스트링 값들이 들어가는 웹사이트나 서비스에 연결할 수 없다면 conficker감염을 의심해야 합니다.
감염경로 :
Conficker는 MS08-067 취약점, 공유폴더, USB 이동저장매체 등 다양한 형태의 감염경로를 나타냅니다.
대응방법 :
감염이 의심되면 우선 네트워크에서 해당 호스트를 차단하고 유명 백신을 업데이트하여 치료하고
패치를 해야 합니다.
대응방안은 이곳에 자세하게 나왔네요.
http://support.microsoft.com/kb/962007
그리고 Autorun 방지를 위해 다음과 같이 조치 합니다.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
위의 내용을 메모장을 열어 "autorun.reg" 라는 파일로 생성합니다.
메모장은 기본적으로 txt 확장자로 저장되니 저장형태를 all files로 해서 저장해주면 됩니다.
만든 파일을 실행 후 재부팅을 하면 autorun이 방지가 됩니다.
참조 :
* Virus alert about the Win32/Conficker.B worm -
<http://support.microsoft.com/kb/962007>
* Microsoft Security Bulletin MS08-067 - Critical -
<http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx>
* Microsoft Windows Does Not Disable AutoRun Properly -
<http://www.us-cert.gov/cas/techalerts/TA09-020A.html>
* MS08-067: Vulnerability in Server service could allow remote code
execution -
<http://support.microsoft.com/kb/958644>
* The Conficker Worm -
<http://www.symantec.com/norton/theme.jsp?themeid=conficker_worm>
* W32/Conficker.worm -
<http://us.mcafee.com/root/campaign.asp?cid=54857>
http://www.krcert.or.kr/secureNoticeView.do?num=308&seq=-1
http://www.krcert.or.kr/secureNoticeView.do?num=306&seq=-1
http://mtc.sri.com/Conficker/addendumC/
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.C
http://www.secureworks.com/research/threats/downadup-removal/
본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..
****************************************************************************************************