태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

티스토리 툴바

Daum
Tistory
로그인
웹문서 도움말
검색
 

 님다바이러스

팁과노하우/보안/바이러스

님다바이러스
Win32.Nimda는 E-mail,네트워크 공유 폴더,IIS취약점 등을 통하여 다양하게 확산이 이루어지므로 확산속도가 매우 빠르며 실제 국내에도 많은 피해가 나타나고 있다.우선 실행이되면, 윈도우 시스템 폴더 (일반적으로 C:WindowsSystem,NT/2000 C:WinntSystem32) 폴더에 "load.exe"와 "riched20.dll"를 생성시키고 윈도 TEMP 폴더에 Mep*.tmp.exe 파일을 다수 생성한다. 또한 C:,D:,E:루트에 admin.dll파일을 생성해 놓는다.여기서 load.exe 파일은 윈도폴더(일반적으로C:Windows)에 존재하는 System.ini"파일을 수정하여 다음번 부팅시에 실행되도록 하고있다.





그림과 같이 System.ini 파일내부에 "shell = explorer.exe에 load.exe -dontrunold" 줄이 추가된다.여러가지 확산 동작중 E-mail을 통해서 확산될때는 하드디스크에 존재하는 *.htm,*.html파일내부에서 E-mail주소를 얻어 확산대상을 선정한다. 메일을 발송시킬때는 바이러스 내부적으로 내장되어있는 SMTP를 통하여 메일을 발송하므로 인터넷만 연결되어있으면 메일을 발송한다.

정상적인 파일에도 감염되는 증상이 있는데,감염된 파일은 다음과 같은 내부구조를 나타내고 있다. .EXE IIS 취약점을 이용하기 때문에 보안패치가 되지 않은 IIS 웹 서버이면 감염이 일어난다.즉 IIS을 이용하여 웹 서비스를 구동하고 있으면, 웹 파일이 존재하는 폴더에 index, default, main 파일중 html,htm,asp 확장명을 지니고 있는 파일을 찾아서, 자바스크립트를 추가하여, 이 페이지에 접속하는 사용자도 감염되도록 하고 있다.

감염된 사용자의 PC는 C드라이브부터 Z드라이브까지 모두 읽기/쓰기용으로 공유시켜 버리므로 네트워크를 통해서 PC가 모두 노출되게 된다.

♣ 치료방법

바이로봇 2001년 9월 19일자 긴급업데이트 버전으로 엔진을 업데이트하면 진단 및 예방이 모두 가능하며 전용백신으로 진단 및 치료가 가능하다.

*.html,*.asp,파일등에 감염된 파일은 이미 기존버전으로 진단 및 치료가 가능하다.

만약 워드, 엑셀등 프로그램 실행이 불가능할 경우에는 "riched20.dll"파일이 바이러스로 인하여 손상되었으므로 정상적인 시스템에서 복사 후 윈도 시스템폴더 (WindowsSystem 또는 WINNTSystem32)에 복사해 넣으면 된다.

*주의 : "riched20.dll"은 OS 종류에 따라 다르므로 현재 사용하는 OS에 따라 "riched20.dll"파일을 복사해야 한다.

바이러스의 특성상 다시 확산되는 일을 방지하기 위해서는 반드시 치료후에 바이로봇 실시간 감시기를 항상 띄워두어야 재 감염되는것을 막을 수 있으며, 탐색기의 로컬디스크(C:나 D:)에서 우측마우스를 클릭 한 후, 등록정보에서 웹 공유를 해제한다.또한 다음의 패치를 차례대로 적용하여 보안상의 취약점을 제거시켜야 한다.

Microsoft 보안패치 항목

* Windows NT/2000 IIS서비스 사용자.

Microsoft IIS 4.0 :

- http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32068

Microsoft IIS 5.0 :

- http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011

* Internet Explorer 사용자의 경우 다음 패치를 적용하거나,

- http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Internet Explorer 5.01 SP2를 설치하거나,
Internet Explorer 5.5 SP2를 설치하거나,
Internet Explorer 6.0을 설치한다.

* Outlook 2000 사용자의 경우, 다음 패치를 설치한다.

- http://office.microsoft.com/korea/downloads/2000/outlctlx.aspx

* Outlook 2002 (Office XP) 사용자의 경우, 다음 패치를 설치한다.

- http://office.microsoft.com/korea/downloads/2002/OLK1003.aspx



님다바이러스
Posted by 왁자지껄
TAG
트랙백이 없고, 댓글이 없습니다.