|
|
|
|
 |
|
| ¹ÙÀÌ·¯½º
À̸§ |
W32/Nimda.57344.B@mm |
¹ÙÀÌ·¯½º
Á¾·ù |
Worm |
| ½ÇÇà
ȯ°æ |
Win9x, Win2000 |
Á¦ÀÛÁö |
|
| ¹ß°ßÀÏ |
20021114 |
¹ÙÀÌ·¯½ºÅ©±â |
57344 |
| ¸ÞÀÏ
Á¦¸ñ |
ÀÇ¹Ì ¾ø´Â ¹®ÀÚÀÇ ±ä Á¶ÇÕ |
| ÷ºÎÆÄÀÏ |
sample.exe |
| Áõ»ó |
10¿ù 29ÀÏ¿¡ ±¹³»¿¡ óÀ½À¸·Î ½Å°íµÇ¾úÀ¸¸ç, ¿Ü±¹¿¡¼ ¾ÆÁ÷ ¹ß°ß »ç·Ê°¡
º¸°íµÇÁö ¾ÊÀº Á¡À¸·Î ¹Ì·ç¾î ±¹³»¿¡¼ º¯ÇüµÈ ¹ÙÀÌ·¯½º·Î ÃßÁ¤µÇÁö¸¸ ¾ÆÁ÷
±îÁö´Â È®½ÇÄ¡ ¾Ê´Ù.
Áö±Ý±îÁöÀÇ ÇÇÇØ½Å°í »óȲÀ¸·Î ¹Ì·ç¾î Áö³¹ø "´Ô´Ù" (W32/Nimda@mm)
¹ÙÀÌ·¯½º¿Í ºñ½ÁÇÑ ¼Óµµ·Î È®»êµÇ°í ÀÖ´Â °ÍÀ¸·Î º¸ÀδÙ.
"´Ô´Ù" ¿Í °°ÀÌ ÀÚüÀûÀ¸·Î ¸ÞÀÏÀ» ¹ß¼ÛÇÏ´Â ±â´É¿Ü¿¡ e-¸ÞÀÏÀ» ¿±â¸¸
Çصµ °¨¿°µÇ¸ç, W32/FunLove ¿Í °°ÀÌ °øÀ¯Æú´õ¸¦ ÅëÇؼ °¨¿°½Ãų ¼ö ÀÖ°í
Worm/CodeBlue °¡ »ç¿ëÇß´ø IIS Web Directory Traversal exploit À» ÀÌ¿ë
Çϱâ
¶§¹®¿¡ PC´Â ¹°·Ð ¼¹ö¿¡µµ °¨¿°ÀÌ µÇ¾î ±Þ¼ÓÈ÷ È®»êµÇ°í ÀÖ´Â °ÍÀ¸·Î º¸ÀÎ
´Ù.
e-¸ÞÀÏÀ» ¿±â¸¸ Çصµ °¨¿°ÀÌ µÇ¹Ç·Î È®»ê¼Óµµ°¡ ¸Å¿ì ºü¸£¸ç, ¹«ÀǹÌÇÑ
¹®ÀÚÀÇ ±ä Á¶ÇÕÀ¸·Î ±¸¼ºµÈ Á¦¸ñÀÇ ¸ÞÀÏÀ» ¹Þ¾Ò´Ù¸é ¿Áö ¾Êµµ·Ï ÁÖÀǸ¦
¿äÇÑ´Ù.
"sample.exe" ·Î ÷ºÎµÈ ÆÄÀÏÀº ¹ÙÀÌ·¯½º ÀÚüÀ̹ǷΠ»èÁ¦°¡ °ð Ä¡·áÀ̸ç,
ÀϺΠ½ÇÇàÆÄÀÏÀº °¨¿°µÇ±âµµ Çϸç Ä¡·á ¶ÇÇÑ °¡´ÉÇÏ´Ù.
ÁÖ¿ä Áõ»óÀ¸·Î´Â ´Ù¸¥ PCÀÇ °øÀ¯ Æú´õ¿¡ ÀÖ´Â ÆÄÀϵéÀ» °¨¿°½ÃÅ°´Âµ¥,
.exe ÆÄÀϵéÀº °¨¿°µÇ°í .eml °ú .nws ÆÄÀϵéÀº ¹ÙÀÌ·¯½º¿¡ ÀÇÇؼ ±³Ã¼µÈ
´Ù.
¿úÀº .htm .html ¿¡¼ e-¸ÞÀÏ ÁÖ¼Ò¸¦ °Ë»öÇÏ¿© sample.exe ÆÄÀÏÀ» ÷ºÎÇÑ
°¨¿°µÈ ¸ÞÀÏÀ» ¹ß¼ÛÇϹǷΠ½Ã½ºÅÛÀ» ¼º´ÉÀ» ÀúÇϽÃÅ°¸ç, ÀÌ·Î ÀÎÇØ ½Ã½ºÅÛ
ÀÌ
´Ù¿îµÇ±âµµ ÇÑ´Ù.
ÀÌ¿Ü¿¡ .htm, .html, .asp ÆÄÀÏ µÞ ºÎºÐ¿¡ ¿úÀ» ½ÇÇàÇÏ´Â Äڵ带 »ðÀÔÇϱâ
µµ
ÇÑ´Ù.
ÁÖ¿ä Áõ»óÀº ¿øÇüÀÎ W32/Nimda@mm ¿Í ºñ½ÁÇϸç, ´ÜÁö ¹®ÀÚ¿°ú »ý¼ºµÇ´Â
ÆÄÀϸíÀ» º¯ÇüÇÑ Á¤µµÀÌ´Ù.
³»ºÎ¿¡´Â ¾Æ·¡¿Í °°Àº ¹®ÀÚ¿ÀÌ Á¸ÀçÇÑ´Ù.
"Concept Virus(CV) V.6, Copyright(C)2001, (This''''s CV, No Nimda.)"
|
|
Ä¡·á ¹æ¹ý |
- Åͺ¸¹é½Å ¶Ç´Â Åͺ¸¹é½Å OnlineÀ¸·Î Ä¡·á °¡´ÉÇÏ´Ù.(Åͺ¸¹é½ÅÀ¸·Î Ä¡·á
ÇÑ °æ¿ì¶ó¸é ¾Æ·¡ * ³»¿ëÀº ÇÏ½Ç ÇÊ¿ä ¾øÁö¸¸ Çѹø
Á¡°ËÇØ º¸½Ã±â ¹Ù¶õ´Ù.)
* À©9x °è¿¿¡ °¨¿°µÈ °æ¿ì¿¡´Â À©µµ¿ìÁî Æú´õ¿¡ ÀÖ´Â system.ini ÆÄÀÏ¿¡¼
shell=explorer.exe load.exe -dontrunold ºÎºÐÀ» shell=explorer.exe ·Î
¹Ù²Û´Ù.
- IIS »ç¿ëÀÚÀÇ °æ¿ì ¹Ýµå½Ã IIS ¸¦ Á¾·á ÇϽðí, ÆÐÄ¡ÇϽŠÈÄ¿¡ Ä¡·áÇϽÃ
±â ¹Ù¶õ´Ù.
- riched20.dll ÀÌ ¿ú¿¡ ÀÇÇؼ °ãÃÄ ½áÁø °æ¿ì¶ó¸é Ä¡·áÈÄ¿¡
riched20.dll ÆÄÀÏÀ» À©µµ¿ìÁî ½Ã½ºÅÛ Æú´õ(À©9x: \Windows\System,
WinNT/2000: \WinNT\System32) ¿¡ º¹»çÇØ Áֽñ⠹ٶõ´Ù. (riched20.dll ÆÄ
ÀÏÀÌ °ãÃĽáÁø °æ¿ì °æ¿ì ¿ÀÇǽº ÇÁ·Î±×·¥ µîÀÇ ½ÇÇà½Ã¿¡ ¿À·ù°¡ ¹ß»ýÇÒ
¼ö ÀÖ´Ù.)
ÆÐÄ¡¹æ¹ý :
- ÀÎÅÍ³Ý ÀͽºÇ÷ξî´Â ºÎÁ¤È®ÇÑ MIME Çì´õ´Â ÷ºÎÆÄÀÏÀ» ¿±â¸¸ Çصµ ½ÇÇà
Çϵµ·Ï ÇÏ´Â ¹®Á¦°¡ Àִµ¥, ¾Æ·¡ ÁÖ¼Ò¿¡¼ ÆÐÄ¡¸¦ ¹Þ¾Æ Àû¿ë½ÃÅ°¸é À̸¦
¸·À» ¼ö ÀÖ´Ù.
http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/MS01-020.asp
- À©µµ¿ìÁî ¼¹ö»ó¿¡¼ IIS ¸¦ ½ÇÇàÇÏ´Â »ç¿ëÀÚ¶ó¸é ¹Ýµå½Ã ¾Æ·¡ ÁÖ¼Ò¿¡¼
Web Server Folder Traversal º¸¾È ÆÐÄ¡¸¦ ¹Þ¾Æ¼ Àû¿ëÇϱ⠹ٶõ
´Ù.
http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/MS01-044.asp
|
|
Á÷Á¢Ä¡·á¹æ¹ý |
|
|
|
