[an error occurred while processing this directive] [an error occurred while processing this directive]

[an error occurred while processing this directive]

Win32/Blaster.worm.6176

위험도
위험도	보통	미정	높음	보통

다른이름

W32.Blaster.Worm, W32/Lovsan.worm, Worm.Win32.Blaster.6176, Win32.HLLW.Lovesan.11296, WORM_MSBLAST.A

N/A

네트워크 관련

윈도우

네트워크, 보안취약점

종류

웜

형태

실행파일

들어오는 포트

N/A

나가는 포트

N/A

제작국

불분명

특정활동일

1월 ~ 8월 : 16일 이후
9월 ~ 12월 : 매일

최초 발견일

2003-08-11 (현지시각 기준)

국내 발견일

2003-08-12

V3
대응정보

2003.08.12.00 엔진으로 이 바이러스를 진단할 수있습니다.	2003.08.12.00 엔진으로 이 바이러스를 치료할 수있습니다.

안철수연구소의 보안제품을 온라인으로 바로 구입하실 수 있습니다.

V3가 설치되어 있지 않은 고객께서는 V3Pro 2004 평가판을 무료로 이용하실 수 있습니다.

모든 V3 제품군의 최신 엔진 업데이트 내용을 여기에서 확인하실 수 있습니다.



증상 및 요약

- 웜파일 msblast.exe 파일을 생성한다. - 135번 포트로 다량의 트래픽이 발생한다. - 경우에 따라 에러창이 뜨거나 시스템이 재부팅되기도 한다. - 감염된 시스템의 날짜에 따라 특정 사이트를 공격한다.

상세정보

Win32/Blaster.worm.6176은 2003년 8월 12일 새벽(한국 시각 기준)에 발견되었으며 8월 12일 아침부터 많은 샘플을 접수받았다. 윈도우 NT 계열 ( NT/2000/XP/2003 )의 RPC DCOM 취약성을 이용해 전파되는 웜으로 윈도우 9X 계열(윈도우 95/98/Me)는 영향을 받지 않는다. RPC DCOM 취약성을 가진 윈도우 시스템에서 감염되며 감염된 시스템은 135번 포트(epmap)의 트래픽이 현저하게 증가하며 시스템에 따라 재부팅이나 에러 메시지가 뜨는 경우가 있다. 웜은 윈도우 NT 계열의 취약성을 이용하므로 패치를 하지 않으면 근본적으로 감염을 막을 수 없다. - 변형 정보 2003년 8월 14일(한국 시각 기준) 이 웜에 대한 변형이 발견되었다. 원형에 비해 생성되는 파일명만 다를 뿐 전파방법과 증상은 동일하다. 변형에 대한 정보는 아래 링크를 참고하기 바란다. - Win32/Blaster.worm.7200 - Win32/Blaster.worm.5360 - 전파 방법 웜 파일이 시작되면 랜덤한 IP 어드레스를 선택해 주소를 하나씩 증가시키며 RPC DCOM 취약성이 있는 시스템(135번 포트 이용)을 찾아 공격 한다. 공격시스템은 취약성을 가진 시스템의 명령 프롬프트를 얻을 수 있고 TFTP 프로그램(TFTP.EXE)을 이용해 웜 파일(MSBLAST.EXE)을 복사하고 웜 파일을 실행한다. 이때 공격받은 시스템은 4444번 포트가 오픈되고 이 포트를 이용하여 웜 파일을 전송받는다. 4444번 포트는 감염되는 순간만 오픈되므로, NETSTAT 명령을 이용해서 확인하기는 힘들다. 시스템에 따라 시스템이 재부팅되거나 에러 메시지창이 뜨기도 한다. 에러 메시지창이 뜬 시스템은 탐색기에서 "파일 복사"(Ctrl+C)나 "붙여넣기(P)"(Ctrl+P) 등의 명령이 실행되지 않는다. - 실행 후 증상 웜 파일이 실행되면 다음 레지스트리에 웜 파일을 등록해 윈도우 시작시 자동 실행되게 한다. HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 에 Windows auto update 에 msblast.exe 등록 이후 시스템 날짜를 검사해 매달 16일 이후 혹은 매년 9월 이후인지 검사한다. 즉, 1월~8월은 매월 16일 이후, 9월~12월에는 매일 Windowsupdate.com 을 공격하는 증상이 있다. 따라서 2003년 8월 16일부터 첫 공격이 시작된다. 감염된 시스템은 역시 다른 시스템을 감염시킨다. 감염된 시스템을 NETSTAT 로 확인하면 여러 포트가 열려 있음을 알 수 있다. 현재까지 이 포트의 목적은 알려지지 않았다 여러 IP에 135번 포트로 SYN_SENT 패킷을 보내는 걸 볼 수 있다. 이는 취약성이 존재하는 시스템을 찾기 위한 과정이다. 특정 회사를 비방하는 내용의 문자열이 웜 코드 내부에 존재한다.

치료법

- 2003년 8월 12일 업데이트된 긴급엔진(2003.08.12.00)으로 진단/치료(삭제) 가능하다. Win32/Blaster.worm 전용솔루션 페이지로 바로 가기

참고자료

Microsoft RPC 버퍼 오버플로우 취약점 자세한 보기

※ 이 정보에 대한 저작권은 (주)안철수연구소에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 안철수연구소 임을 밝혀야 합니다.

기업이 이 정보를 사용할 때에는 반드시 안철수연구소의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다.

자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 :

[an error occurred while processing this directive]