긴급경보라는데요?(Win32/Sasser.worm.15872)
과서버 패치해야는데.. 음..
---------------------------------------------------
Win32/Sasser.worm.15872
다른 이름 W32/Sasser.worm, Worm.Win32.Sasser.15872
감염시위험도 3등급(위해)
확산위험도 2등급 현재 확산도 2등급
종류 웜 감염 형태 실행파일
감염 OS 윈도우 감염 경로 네트워크/보안취약점
최초 발견일 2004-04-30 국내발견일 2004-05-01
특정 활동일 특정일 활동 없음 제작국 불분명
진단 가능 엔진 2004.05.01.00 치료 가능 엔진 2004.05.01.00
※ 표기된 날짜 이후의 엔진으로 진단 및 치료가 가능합니다.
증상 - 윈도우 폴더에 avserve.exe 파일이 만들어 진다.
- TCP 445번 포트 접속 시도가 증가한다.
- TCP 1000번~2000번대와 5554번 포트가 LISTENING 상태로 된다.
- 윈도우시스템 폴더에 파일 이름이 숫자_up.exe로 된 다수의 파일이 만들어 진다.
- 감염 후 일정 시간이 지나면 CPU 사용이 100%까지 올라가며 컴퓨터 속도가 느려진다.
- 보안패치 안된 시스템이 공격 패킷을 받을 경우 에러가 발생하며 시스템이 자동 종료 될 수 있다.
내용 * 요약
Win32/Sasser.worm.15872는 MS04-011 취약점을 이용해 전파되는 웜이다. 감염된 시스템은 윈도우 폴더에 avserve.exe 파일과 윈도우 시스템 폴더에 '숫자_up.exe'로 된 파일이 생성된다. 감염 후 일정 시간이 지나면 CPU 점유율이 100%까지 올라가며 컴퓨터 속도가 느려진다. c:\win.log 파일이 생성되기도 한다.
패치 안된 시스템이 공격 패킷을 받을 때 시스템이 자동 종료될 수 있다. 동일 취약점을 이용하는 웜과 이상 패킷 공격으로 발생하는 시스템 종료를 예방하기 위해서는 반드시 MS04-011 취약점 패치해 주어야 한다.
- MS04-011 취약점(한글) 정보
- MS04-011 취약점(영문) 정보
* 확산 정도
2004년 4월 30일(외국 시간 기준)에 최초 보고되었으며 한국에는 2004년 5월 1일 오전에 최초 보고되었다. 정보를 작성하는 2004년 5월 1일 16시 53분 현재 안철수연구소는 고객으로 부터 7건의 샘플을 접수 받았다.
* 전파 경로
MS04-011 취약점을 이용해 전파된다. 웜은 임의의 IP로 접속을 시도해 상대방이 응답이 있을 경우 이상 패킷을 보낸다. 취약점이 존재하는 시스템일 경우 에러가 발생하거나 감염된다.
MS04-011 취약점을 패치하면 이 웜뿐 아니라 MS04-011 취약점을 이용한 유사 웜으로 부터 예방된다.
* LSASS 취약점 (LSASS Vulnerability - MS04-011)
MS04-011 취약점이 패치되지 않은 시스템이 공격 패킷을 받을 경우 다음과 같은 오류가 발생하며 시스템이 종료 될 수 있다.
예)
'시스템 종료
시스템을 종료하고 있습니다. 진행 중인 모든 작업을 저장하고 로그오프하십시오. 저장하지 않은 모든 변경된 내용은 손실됩니다. 시스템 종료는 NT Authority\SYSTEM에 의해 시작되었습니다.
시스템 종료 전 대기 시간 : 00:00:60
-메시지-----
시스템 프로세스
'C:\WINNT\system32\lsass.exe'이(가) 예상하지 않게 상태 코드 128(으)로 종료되었습니다. 지금 시스템을 종료하고 다시 시작할 것입니다.'
관련 취약점을 이용한 웜을 예방하기 위해서는 반드시 패치를 해야하며 패치는 다음 웹 사이트를 참고 하기 바란다.
- MS04-011 취약점(한글) 정보 및 패치 방법
- MS04-011 취약점(영문) 정보 및 패치 방법
* 실행 후 증상
웜 파일이 실행되면 윈도우 폴더에 avserve.exe 파일이 만들어 진다.
(윈도우 폴더는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:\Windows, 윈도우 NT/2000은 C:\WinNT 폴더이다. )
레지스트리에 다음 값을 추가해 윈도우 시작시 자동으로 실행되도록 한다.
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
에 avserve.exe 키로 웜 파일 등록 (예: C:\WINNT\avserve.exe)
윈도우 시스템 폴더에 '숫자_up.exe' 이름의 웜 파일이 만들어 진다.
(윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.)
예)
- 18572_up.exe
- 25513_up.exe
- 28763_up.exe
- 29069_up.exe
- 29982_up.exe
- 4717_up.exe
- 9337_up.exe 등
다른 시스템을 감염 시키기 위해 임의의 IP의 TCP 445번 포트로 접속을 시도한며 여러 포트를 'LISTENING' 상태로 열어둔다.
일정 시간이 지나면 CPU 사용이 100%까지 올라가며 컴퓨터 속도가 매우 느려진다. 이때 웜 프로세스(avserve.exe)를 종료하면 정상적으로 돌아온다.
* 사용포트
이 웜에 감염되면 TCP 1000번~2000번대 포트를 'LISTENING' 상태로 열어두며 임의로 선택된 IP의 TCP 455번 포트로 접속을 시도한다. TCP 5554번, 9996번 포트도 사용된다.
예) 감염된 시스템에서 NETSTAT -AN으로 확인한 경우
( 주 : IP 주소는 달라지며 일부는 xx로 대체했음 )
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1031 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1032 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1034 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1035 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1036 0.0.0.0:0 LISTENING
~~ 중 략 ~~
TCP 0.0.0.0:2968 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2969 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2970 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2971 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2972 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2973 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2974 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5554 0.0.0.0:0 LISTENING
TCP 192.168.100.2:139 0.0.0.0:0 LISTENING
TCP 192.168.100.2:2865 xx.202.222.247:445 SYN_SENT
TCP 192.168.100.2:2866 3.xxx.142.75:445 SYN_SENT
TCP 192.168.100.2:2867 192.168.183.xxx:445 SYN_SENT
TCP 192.168.100.2:2868 192.168.122.xxx:445 SYN_SENT
TCP 192.168.100.2:2869 192.1.151.xx:445 SYN_SENT
TCP 192.168.100.2:2870 192.171.17.xxx:445 SYN_SENT
TCP 192.168.100.2:2871 192.168.253.xxx:445 SYN_SENT
~~ 중 략 ~~
TCP 192.168.100.2:2972 xx.205.xxx.180:445 SYN_SENT
TCP 192.168.100.2:2973 192.xxx.41.36:445 SYN_SENT
TCP 192.168.100.2:2974 192.123.195.xxx:445 SYN_SENT
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 192.168.100.2:137 *:*
UDP 192.168.100.2:138 *:*
UDP 192.168.100.2:500 *:*
* 이 정보는 2004년 5월 1일 16시 40분에 최초 작성되었으며 2004년 5월 1일 20시 40분에 최종 수정되었다.
치료방법 * V3Pro 2002 Deluxe / V3Pro 2004 / V3Net for Windows Server 사용자
1. 사용 제품을 실행 후 [업데이트] 버튼이나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다.
2. 검사할 드라이브를 지정하고 검사를 시작한다.
3. 프로세스에서 실행중인 'Win32/Sasser.worm.15872'이 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다.
4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다.
5. 필요시 추가/변경 된 레지스트리 값은 자동수정된다.
참고사항 * 취약점 검사
마이크로소프트사는 MBSA(Microsoft Baseline Security Analyzer)를 통해 시스템 혹은 내부 네트웍에 접속된 시스템의 취약점을 검사해주는 프로그램을 제공하고 있다.
시스템에 어떤 취약점이 있는지 확인해 적절한 조치를 취해 해킹 및 악성코드를 예방 할 수 있다.
MBSA에 대한 내용은 아래 사이트를 참고하면 된다.
- http://www.microsoft.com/korea/technet/security/tools/Tools/MBSAhome.asp (한글)
- http://www.microsoft.com/technet/security/tools/mbsahome.mspx (영어)
* 윈도우 보안 업데이트 방법
윈도우 취약점을 이용해 전파되는 바이러스, 웜, 트로이목마 등을 예방하기 위해서는 최신 윈도우 업데이트를 해야한다.
1. 인터넷이 연결이 되어있는 상태에서 'Windows Update' 사이트에 접속한다.
(윈도우 98/2000 의 경우 [시작] → [Windows Update], 윈도우 XP의 경우 [시작] -> [모든 프로그램(P) -> [Windows Update]]
혹은 인터넷 익스플로러 실행 -> 메뉴에서 '도구' -> 'Windows Update(U)'나 인터넷 익스플로어에서 http://windowsupdate.microsoft.com로 직접 접속 가능)
2. 윈도우 업데이트 페이지로 연결 후 [보안경고] 창이 뜨면 [예] 버튼을 선택한다. 단, 한번이라도 윈도우를 업데이트 한 사용자는 [보안경고] 창이 뜨지 않는다.
3. [업데이트 검색]을 선택해 필요한 업데이트를 찾는다.
4. [업데이트 검색]이 완료되면 업데이트 가능한 "중요 업데이트 및 서비스 팩", 사용 윈도우용 업데이트, "드라이버 업데이트" 수가 출력된다.
5. 업데이트를 위해 [업데이트 검토 및 설치]를 선택 하면 전체 업데이트 목록이 나온다. [지금 설치]를 눌러 업데이트를 시작한다.
6. 서비스 팩 등은 다른 업데이트와 동시에 설치 할 수 없다. 서비스 팩 등을 설치 후 반드시 다른 업데이트도 설치해야 한다. [확인]을 선택해 계속 진행한다
7. 사용자 동의를 구하는 창이 뜰 경우 [확인]을 눌러 진행한다.
8. 설치가 완료되면 시스템을 재시작 해야 하는 경우가 있다. [확인]을 눌러 시스템을 재부팅 한다.
9. 재부팅 후 1번 과정을 반복해 [업데이트 검색] 후 현재 사용 가능한 중요 업데이트가 없을 때까지 업데이트를 반복한다
* MS04-011 취약점 공격 패킷 차단 전용 백신
안철수연구소는 MS04-011 취약점 공격 패킷을 차단하는 전용 백신을 제공하고 있다. 패치를 적용할 수 없는 시스템이나 패치 중 이상 패킷 공격으로 시스템이 종료 되는 경우 사용할 수 있다.
주의 : 전용백신으로 차단할 수 없는 취약점 공격 패킷이 존재할 수 있다. 이 경우 예방 할 수 없다.
- 전용백신 페이지
이젠 별로 느낌이 없군요..마치 웜이 일상생활화 된듯한...
이젠 별로 느낌이 없군요..
마치 웜이 일상생활화 된듯한...
실험실 PC가 이미 감염되어 있더라구요.. v3 업데이트 한지 불과
실험실 PC가 이미 감염되어 있더라구요.. v3 업데이트 한지
불과 2일 밖에 지나지 않았는데 ㅡ.ㅜ
부팅시 무자게 느려지구.. 수시로 프로세스 점유율이 100%로 치솟으면서
엄청난 인내심을 요하게 되더라구요.. 간신히 v3 업데이트 끝내고
바이러스 검사 시작하는데.. 중간에 블루 스크린이 뜨더라구요..
쓴맛을 다시며 재붓했는데.. 그때부터 하드 디스크가 맛이 갔더라구요..
쩝.. 낼은.. 아니 오늘이군요.. ㅡ.ㅜ 하드 디스크 A/S 하러 가야 합니다.
80기가 하드에 데이터 꽉꽉 채웠는데.. 살릴 수 있는 방안이 없을 듯 하네요 ㅡ.ㅜ
---------------------------------------
세계는 넓고, 할일은 많다.
Windows 2000 을 OS 로 쓰는 고객의 전산 HelpDesk 업
Windows 2000 을 OS 로 쓰는 고객의 전산 HelpDesk 업무를 맡고 있는데
이놈의 윔때문에 미치겠네요..
어떻게 생각하면 worm 바이러스 영향을 별로 안 받는
Win98 이 M$ 최고의 작품이 아닐까 싶기도 합니다.
최종사용자가 컴퓨터에
아~~~~주 익숙하지 않은 컴맹중의 컴맹이기 때문에 ..
공지메일로 보안패치하시고 , 백신 업데이트 하세요 .. 라고 메일 보내면 ..
100% 의 고객이
그게 뭐에요 ?? 라고 전화옵니다 -_-ㅋ
일일이 다 화면 캡춰해서 이 아이콘 누르세요.. 라며 빨간색으로 동그라미 표시해주고 다음 누르고 업데이트 누르고 무슨 메세지 나오면 뭐 누르고 .. 하라는 워드문서를 보내긴 했는데
그래도 내일은 하루종일 ... 하라는 대로 했는데 안되요 --; 라는 전화에 시달릴거 같네요
휴~~~ 넑두리 입니다
음...
전 어느 새 자동 업데이트로 해결됐군요. :)
그런데... 제 주변의 대부분의 사람들은, 마소의 자동 업데이트를 켜놓고 있어도, 트레이 아이콘을 클릭하지도 않더군요...
:(
----
블로그 / 위키 / 리눅스 스크린샷 갤러리
덕분에 이곳저곳에서 핼프 요청이 쇄도하고 있습니다.다 가기도 힘들
덕분에 이곳저곳에서 핼프 요청이 쇄도하고 있습니다.
다 가기도 힘들고 다 가서 해준다고 해도, 나중에 또 이런일이 생기겠죠. -_-
도와주면 감사할 줄 아는 사람에게만 가기로 결심 했습니다. -_-
도와주면 당연한것처럼 생각하는 사람들은 아무리 미리 업데이트 하라고 해도 안하더군요.
워...원격지원..... ㅜㅡ...
워...원격지원..... ㅜㅡ...
프비 매니아~
얼른 주변사람들에게 알리고 패치 받아놓은 후 msn으로 뿌리고 있습니다.
얼른 주변사람들에게 알리고 패치 받아놓은 후 msn으로 뿌리고 있습니다.
괜히 주변에 컴 잘모르는 사람이 걸리면... 골치 아프니깐 예방차원에서 ;;
정말이지.. 나도 사용만 할줄 안단말야~ :cry:
오늘 온게임넷에서 카스 대회를 열던 중에 어느 게이머의 컴퓨터가 웜으로
오늘 온게임넷에서 카스 대회를 열던 중에 어느 게이머의 컴퓨터가 웜으로 인해 자동 종료되는 바람에 게임이 중단되더군요.
그러면서 아나운서는 계속 '현재 스튜디오가 있는 아셈타워의 네트웍이 웜으로 인해 불안정합니다. 양해 말씀 구합니다.. 어쩌구..' 라는 말만 계속해서 반복했습니다.
웃기기도 하고.. 제가 카스 안해봐서 잘 모르지만, 그거 꼭 내부 네트웍에 물려야 게임 할 수 있는건 아닐텐데, 왜 꼭 타워의 네트웍을 이용해서 게임을 하려고 하는지.. 그냥 독립적으로 허브 이용해서 네트웍 만들어 놓으면 웜도 안타고 괜찮지 않을까요?
--->
데비안 & 우분투로 대동단결!
정말.. 이런 걸 보면 윈도우는 고수들이 사용하는 운영체제란걸 느끼게 됩
정말.. 이런 걸 보면 윈도우는 고수들이 사용하는 운영체제란걸 느끼게 됩니다.
ebs 교육방송이란 놈 떔시 현재 윈도우에 기거중이지만 리눅이가 정말
그리워요~ 그리워요~~ -_-)┐
그나저나 뉴스 보니까 병원에서도 이 것 때문에 마비되고 그런다는데 걱정이군요.
I don't belong here..
[quote="kirrie"]오늘 온게임넷에서 카스 대회를 열던 중에 어
옵저버 방송 (HLTV) 을 인터넷으로 해야하기 때문이 그런것 같습니다.
인터넷에 하나가 연결되있으면 다른것도좌르륵....
안타깝게도...
원격지원을 권장하며, 열심히 원격지원에 대해 설명 후, 실행하는 것까지 알려드렸으나...
-_-;;;; 아무리 해도 안되더군요. 원격지원이 불가능한 사람들이 많다는 것을 느끼고
그냥 마음을 비웠습니다. 돈받고 일해주는 것도 아닌데 욕하려구요... ( ' ')a
아쉬우면 돈주고 고치라고 그러지요 뭐... -_-;
보안 패치 시디를 다시 만들어 배포하라고 압력을 넣어야겠군요.종량
보안 패치 시디를 다시 만들어 배포하라고 압력을 넣어야겠군요.
종량제 되면 돈 받고 업데이트 해줘야지....
그런데 패치 어디서 받나요? 깔아 달라는 사람은 있는데 업데이트 사이트를 이용해야하나요?
위 링크 따라가니까 없다는 글만 보입니다..
+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년
[quote="alwaysrainy"]실험실 PC가 이미 감염되어 있더라
예전에는 2,3일에 한번씩 엔진이 나왔는데 요즘에는 하루에 2,3번 나오고 있습니다. 슬픈 현실이죠..
---
http://coolengineer.com
윈98 의 파란화면 이냐..윈2000,윈XP 의 웜이냐 결
윈98 의 파란화면 이냐..
윈2000,윈XP 의 웜이냐
결정하세요. 당신이 원하는 것으로..
이제 파란화면 안본다고 좋아한지 얼마 안되었는데..
웜 때문에 걱정이라니..
사용자가 바꾸어 나가자!!
= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com
걱정 없습니다 -_-v
공유기 밑에서 win2000 두대, winXp 한대, linux(debian) 한대 돌리고 있습니다만..
멀쩡하군요.
어찌저찌하다 보니 공유기 두대를 사용하고요 -_-;
으음. 언제까지 이것들을 믿을 수 있을까요? 흠.
저 밑에 있는.....윈도우) 실행중인 프로세스에 avserver란 놈이
저 밑에 있는.....윈도우) 실행중인 프로세스에 avserver란 놈이 있나요? 란 글이 Sasser웜을 가리키는 거였는데;;;;;;;;;; 이렇게 크게 터질줄이야......
느낌이 묘하네요.........;;;;;;;;;;;;;;;;;;
[quote="jedi"]보안 패치 시디를 다시 만들어 배포하라고 압력을
패치:
윈도우xp
http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3
윈도우2000
http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=0692C27E-F63A-414C-B3EB-D2342FBB6C00
윈도우2003
http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=EAB176D0-01CF-453E-AE7E-7495864E8D8C
간다.
멈출까 나아갈까
망설이고 있을 때에는
나아가라고 배웠다.
sec-info@cert.certcc.or.kr 메일링 리스트로 온 메일
sec-info@cert.certcc.or.kr 메일링 리스트로 온 메일 내용입니다.
도움이 될 분이 있을 것 같아 추가로 올립니다. :)
간다.
멈출까 나아갈까
망설이고 있을 때에는
나아가라고 배웠다.
시만텍에서 free로 배포하는 제거툴이 올라와있더군요.필요하신 분은
시만텍에서 free로 배포하는 제거툴이 올라와있더군요.
필요하신 분은 아래에서..
http://atfile.com/pds_leaf.asp?pg_code=2636&pv_code=2
간다.
멈출까 나아갈까
망설이고 있을 때에는
나아가라고 배웠다.