KIGAM 한국지질자원연구원

이 웜은 지난 2001년 7월에 발생한 Codered웜의 변종으로 3월 11일 외국에서 처음 발견된 것으로 알려져 있다. 기존의 Codred웜과 동일하게 IIS인덱스 서비스의 취약점을 이용하고 확산방법도 유사하나 공격주기가 정해져 있지 않다는 것이 다르다. 위 취약점을 패치하지 않은 상태로 IIS4.0, IIS5.0를 구동하는 윈도우 NT/2000 시스템에 영향을 주며, 침입차단시스템(Firewall)에서 일반적으로 열어놓고 있는 웹서비스를 통하여 유포되기 때문에 각별한 주의가 요구된다. 1. 발령일시 : 2003. 3. 12 2. 바이러스 명칭 : Codered.F Worm(Codered웜 변종) 3. 경보 대상자 : Codred 관련 취약점 패치를 하지 않은 상태로 IIS 웹 서버를 구동하는 Microsoft WinNT , Win2000 사용자 --------------------------------------------------------------------------------- ☆ 사전예방요령 Microsoft사 홈페이지를 통해 관련 취약점을 사전에 패치한다. WinNT 4.0의 경우에는 SP6 에, Win2000 은 SP3 에 Codered 관련 패치파일이 포함되어 있으므로 해당 서비스팩을 설치한 경우에는 별도로 추가 패치 하지 않아도 된다. 보안 패치파일 : MS00-052, MS01-033, MS01-044 보안패치 (security bulletins) 파일 구할 수 있는 사이트 ☆ 전파방법 Codered 웜 공격을 받으면 공격 성공여부에 상관없이 아래와 같은 형태로 로그가 남는다. ( IIS 로그 위치- C:\WINNT/system32/LogFiles/W3SVC ) <--기타 Firewall 이나 라우터의 로그를 점검하여 웹서버가 아닌 다른 시스템의 80번 포트로 접속하는 로그를 점검한다. 이는 대부분 CodeRed 웜(또는 Nimda웜) 공격에 의해 발생하는 로그일 가능성이 크다. 또한 백신프로그램으로 점검하면 Codered웜으로 탐지되기도 하며, 시스템 루트디렉토리에 트로이목마 파일인 Explorer.exe 이 생성되기도 한다.--> ☆ 탐지방법 사이트 내에 NT/2000 시스템이 많은 경우 네트워크 과부하로 인하여 접속이 느려질 수 있으며, 간혹 다운되는 증상이 발생할 수도 있다. 또한 해당 웜에 감염된 컴퓨터는 웜에 포함된 트로이목마 기능을 통해 원격에서 접속할 수 있도록 레지스트리 값이 추가되고 C 드라이브나 D 드라이브의 파일에 접근 권한을 가질 수 있게 된다. ※ local file system 보안을 위한 기능을 비활성화 시키기 위해 레지스트리 값을 변경시킴 (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable) ※ 웹브라우저를 통해 원격에 있는 공격자가 C드라이브나 D드라이브로 억세스 가능하도록 레지스트리값 생성(HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\/) (HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\/MSADC) ☆ 감염시 치료방법 백신으로 탐지되었을 경우에는 백신으로 치료후 보안패치를 적용한다. 보안 패치파일 : MS00-052, MS01-033, MS01-044 웜의 전파속도가 빠르기 때문에 치료하는 과정에서도 감염될 수 있으므로 패치파일을 다운로드 받은 다음 네트워크 연결을 차단한 상태에서 IIS 구동을 중단하고 패치 적용한 다음 시스템을 재부팅 하도록 한다.(위 방법으로 치료가 안될 경우 참고자료를 이용해 수동으로 레지스트리 값을 수정하여 복구) ☆ 추가적인 의문사항은 Cyber118로 문의한다.(※ (02) 118로 누르시면 됩니다)