바이러스
홈 >
바이러스
>
바이러스
조회수 : 236
작성일 : 2007.04.03
| Win32.Agobot.Worm.ali(변종추가) | |
| 작성자 | 허소영 |
|---|---|
| 내용 | 해당시스템 Microsoft Windows
Microsoft Windows 개요 Win32.Agobot.Worm.ali 는 2003년 11월 28일 발견된 Win32/AgoBot.gen.worm의 여러 가지 변종중 하나이다. 그러나 Win32.Agobot.Worm.ali는 2004년 4월 14일 마이크로소프트에서 발표한 MS LSASS 취약점(MS04-011)을 이용하여 공격이 이루어진다. 전파방법 o 네트워크 공유 폴더를 통해 전파된다. o 관리목적 공유폴더에 패스워드 추측 공격 패스워드 추측공격을 시도하여, 성공하는 경우 admin$, print$, c, c$, d$, e$와 같은 관리목적공유폴더에 자신을 복제해 넣는다. o 아래와 같은 문자열을 이용한 사용자명/패스워드 추측 공격 !@#$%^&* !@#$%^& !@#$%^ !@#$% !@#$ 000000 00000000 007 110 111 111111 Admin admin admin123 ... (이하생략) 피해증상 o 윈도우 시스템 폴더 (C:\winnt\system32 또는 C:\sindows\system32)에 다음과 같은 파일을 생성한다. - msiwin84.exe o 재부팅시에도 웜이 동작하기 위해 다음과 같은 내용을 레지스트리에 추가한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "Microsoft Update" = msiwin84.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices "Microsoft Update" = msiwin84.exe o 다음과 같은 사이트에 인터넷 연결 속도 테스트를 한다. de.yahoo.com nitro.ucsc.edu verio.fr www.1und1.de www.above.net www.belwue.de www.burst.net www.cogentco.com www.d1asia.com www.level3.com www.lib.nthu.edu.tw www.nifty.com www.nocster.com www.rit.edu www.ryan1918.com www.ryan1918.net www.ryan1918.org www.schlund.net www.st.lib.keio.ac.jp www.stanford.edu www.switch.ch www.utwente.nl www.verio.com www.xo.net yahoo.co.jp o IRC서버(TCP/6667)에 접속하여 아래의 사이트로 감염된 사이트 목록을 보낸다. 공격자는 임의의 두 개의 TCP 포트를 이용하여 감염된 시스템을 조종한다. 하지만, 현재 해당 사이트는 접속되지 않아 더이상 전파되지 않는다. - malalala.bin-laden.cc o 감염된 시스템의 HOSTS 파일을 변경하여 아래 시스템으로의 접근을 막는다. avp.com ca.com customer.symantec.com dispatch.mcafee.com download.mcafee.com f-secure.com kaspersky.com kaspersky-labs.com liveupdate.symantec.com liveupdate.symantecliveupdate.com mast.mcafee.com mcafee.com my-etrust.com nai.com networkassociates.com rads.mcafee.com secure.nai.com securityresponse.symantec.com sophos.com symantec.com trendmicro.com update.symantec.com updates.symantec.com us.mcafee.com viruslist.com viruslist.com www.avp.com www.ca.com www.f-secure.com www.grisoft.com www.kaspersky.com www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com o 감염된 시스템의 다음과 같은 프로세스를 중지시킨다. _AVP32.EXE _AVPCC.EXE _AVPM.EXE 53ARCH.EXE ACKWIN32.EXE ADAWARE.EXE ADVXDWIN.EXE AGENTSVR.EXE AGENTW.EXE ALERTSVC.EXE ALEVIR.EXE ... (이하생략) 치료법 백신을 최신엔진으로 업데이트 한 후 검사하여 치료한다. 또는 윈도우 시스템 폴더에 생성된 msiwin84.exe 파일을 삭제하고 위에서 언급된 레지스트리를 삭제한다. 재감염을 막기 위해 추측하기 힘든 패스워드를 설정하고 다음을 참고하여 패치를 적용한다. http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp 참조 Site 하우리 http://hauri.co.kr/virus/virusinfo/virusinfo_read.html?code=WOW3000528 안철수연구소 http://info.ahnlab.com/smart2u/virus_detail_1377.html 맥아피 http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125006 변종비교표 http://www.krcert.or.kr/detail/2004/Win32_Agobot_ali.html |
| 첨부파일 | |
