08월 14일 웜바이러스

박재춘

06/09/01 1:45

1677

  

오마이컴남부점입니다.
8월14일 웜바이러스에 대한 공지가 없기에 올립니다.
증상및 해결방안을 보시고 도움이 되시길빕니다.

현재 8월 14일 부터 시작된 웜바이러스 때문에 피해를 보고 있는 PC방이 속출하고 있습니다.

아래 증상과 해결방법을 알려드리겠습니다.

1. 상황
- 2006년 08월 09일 윈도우 보안 공지 발령 <최대 심각도: 긴급>


Microsoft 보안 공지 MS06-040
서버 서비스의 취약점으로 인한 원격 코드 실행 문제점 (921883)

- 2006년 08월 14일 웜바이러스 활동 시작
인터넷을 통해 들어온 웜바이러스가 PC방 내부 네트워크를 따라 감염 시키는 형태

2. 증상
- 매장 내 PC가 멈추는 현상 (재부팅 이후에 일시적으로 되다가 다시 멈춤)
- 매장내(카운터 포함) PC의 인터넷 및 시스템의 속도가 느려지는 현상
- 매장 내 PC의 트래픽이 증가하는 현상
- 인터넷이 끊기는 현상 (이 경우에는 애니웨어의 통신이 끊김)
- 사운드 장치가 사라지는 현상
- 랜카드 장치가 사라지는 증상

- Generic Host Process for win32 services 에러 메세지가 나타나는 현상

3. 알려진 현상
ㅇ 특정 IRC(Internet Relay Chat) 서버에 접속을 시도한다.
ㅇ 특정 포트를 열고 인가되지 않은 외부의 접속에 대기할 수 있다.
ㅇ 웜이 시스템에서 실행될 수 있도록 레지스트리 값을 변경한다.
ㅇ 감염된 시스템의 보안설정을 변경한다.
ㅇ 윈도우 보안 취약점 공격으로 인해 급격한 트래픽이 유발 된다.

4. 해결방법
- 1. 보유하고 있는 백신프로그램를 최신으로 업데이트하고 검사를 한다. 검사는 정밀진단을 하도록 한다.
- 2. 윈도우 업데이트를 한다.
- 3. MS06-040 다운로드 페이지 :
http://www.microsoft.com/korea/technet/security/bulletin/MS06-
040.mspx(다른버전들)
- 4. [시스템 - 장치관리자] 에서 사운드, 랜카드가 정상적으로 작동하는지 확인

위의 방법으로 해결이 안될 경우
- 1. 피씨를 포멧
- 2. 랜카드를 뽑은 상태에서 윈도우 설치
- 3. 백신프로그램 설치 - 실시간 감지
- 4. 인터넷에 연결해 백신프로그램을 최신으로 다운 / 윈도우 업데이트를 받는다. 위의 MS06-040 의 패치도 받음
- 5. 이후 기타 프로그램 설치 후 하드 대 하드 카피로 빠른 복구를 해야함

5. 주의할점
- 현재 매장에 이상이 없더라도 보안패치는 꼭 받아야함
- 전체 PC가 감염되어 있다면 네트워크로 바이러스가 침투하기 때문에 복원/복구는 랜선을 뽑고 진행
- 복원/복구로 해결이 안될수 있음

출처 : 멋진성이 카페