PC 세이퍼 - 바이러스와 악성코드를 한번에 퇴치!

PC세이퍼 빠른 메뉴

PC세이퍼 메뉴 안내

PC세이퍼 홈

로그인 (유료사용자)

프로그램 소개

프로그램 가이드

- 구매방법

- 상품권결제

- 자동결제 취소

- 검사ㆍ치료방법

- 환경설정

- 파일복원

- 보안칼럼

- 공지사항

- 1:1상담

[리스트로]

바이러스 이름	Worm-W32/Welchia.12800.C	바이러스 종류	Worm
실행 환경	Windows	제작지	불분명
발견일	20040214	바이러스크기	12,800 Bytes
메일 제목
첨부파일
바이러스 증상
Worm-W32/Welchia.12800의 변형으로 Worm-W32/Blaster 와 같은 NT 계열의 DCOM RPC 보안의 취약점을 이용하여 감염 전파된다. 그러나 윈도우즈 업데이트 사이트에서 해당 OS 언어별 DCOM RPC 패치를 다운받아 설치한 후에 재부팅후 W32/Mydoom@mm이 생성한 다음과 같은 파일이 존재하면 삭제시도를 한다. ctfmon.dll Explorer.exe shimgapi.dll TaskMon.exe 웜이 실행 되면 윈도우 시스템 하위 drivers폴더(win 2000, NT : c:\winnt\system32\drivers Windows Xp : c:\windows\system32\drivers)에 svhost.exe(12,800 byte)를 생성한다. 이웜은 4가지 취약점과 네가지 포트를 이용하여 시스템 이상을 일으키는데, 다음과 같다. 1. 135번 포트를 통해서는 DCOM RPC 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp) 2. 80번 포트를 통해서는 WebDav 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp) 3. TCP 139번과 445 포트를 통해서는 Workstation service buffer overrun 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp 4. 로케이터 서비스 취약점 (http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp) 웜은 이들 취약점을 이용하여 IIS 5.0 시스템을 공격한다. 또한 시스템날짜를 체크하여 2004년 6월1일 이후 또는 실행된지 120일이 지나면 실행되지 않고 자신을 삭제한다.
치료 방법	터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료 가능 합니다. 치료 후 windows 2000 Server 이상에서 IIS 서버를 사용하시는 유저는 근본적인 해결을 위해 다음의 윈도우즈 보안패치를 수행 하시기 바랍니다. WebDAV 패치 http://www.microsoft.com/korea/technet/security/bulletin/MS03-013.asp RPC-DCOM 보안패치 다운로드 안내 http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp 워크스테이션 서비스의 버퍼 오버런 보안패치 다운로드 안내 http://www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp 로케이터 서비스 다운로드 안내 http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp
직접치료방법