MS08-067 취약점을 이용한 악성코드 피해 주의요망

□ 개요
  o MS08-067 취약점[1, 2]을 악용하는 악성코드에 의한 국내 일부 인터넷 사용자 PC의 인터넷 접속
     장애 사례가 발생하여 주의가 요구됨
    ※ MS08-067 취약점은 윈도우 Server Service에 존재하는 원격코드실행 취약점으로 자세한
       내용은 보안공지[2]를 참조

□ 악성코드 전파 및 피해 증상
  o MS08-067 업데이트[3]를 설치하지 않은 시스템을 스캔하여 악성코드에 감염시킴
  o 전송된 악성코드는 시스템 폴더에 복사 후에 서비스로 등록되어 자동 실행
  o 임의의 IP로 과도한 스캔 패킷을 발생시켜 HTTP, FTP등 TCP 기반의 통신 장애 유발

□ 조치 방법
  o 근본 조치 방법
    - 악성코드 치료 백신 이용
    - MS08-067 보안업데이트[3] 설치
       ※ 현재까지 나온 모든 보안업데이트 적용 권고
    - 윈도우 자동 업데이트 설정
      시작 → 제어판 → 자동 업데이트 → 자동(권장) 체크 → 적용 → 확인

  o 임시 조치 방법
    - 윈도우 시스템 폴더에서 파일 사이즈가 62,976 byte 이고, md5 값이 "d9cb288f317124a0e63
      e3405ed290765"인 랜덤.dll 파일을 찾아서 삭제
      ① 윈도우 콘솔(명령프롬프트) 창 열기
          윈도우 시작 버튼 클릭 → 실행 클릭 → cmd 입력 후 확인
         

     ② 윈도우 시스템 폴더로 이동
        콘솔창에 다음 명령을 입력 후 엔터
         > C:\Winnt\System32(Windows NT/2000)
         > C:\Windows\System32(Windows XP)

     ③ 파일 사이즈가 62,976 byte인 파일 찾기
         > dir | findstr "62,976"
        
         ※ 파이프 문자 "|"의 입력은 Shift키 + ₩키

     ④ md5 값 조회
         md5값 검사하는 도구[3]를 C:\에 다운로드 후 압축을 C:\에 해제 후에 아래 명령으로
         ③에서 열거된 파일을 대상으로 md5값을 하나씩 조회함
         > C:\md5sums.exe [파일명]
        
        ※ 파일 사이즈가 62,976 byte인 정상 파일이 있을 수 있으므로
            md5값이 "d9cb288f317124a0e63e3405ed290765"인 악성코드 파일을 찾아서 메모

     ⑤ 시스템을 안전모드로 재부팅 (부팅 시 "F8"을 눌러 "안전모드" 선택)

     ⑥ 윈도우 시스템 폴더로 이동하여 ④에서 확인된 파일 삭제
         > cd C:\Winnt\System32 또는 cd C:\Windows\System32
         > del [파일명]
            ※ 다른 정상 파일을 삭제 시 시스템이 오동작할 수 있으므로 주의

     ⑦ 레지스트리 편집기를 실행
         윈도우 시작 버튼 클릭 → 실행 클릭 → regeit 입력 후 확인
        

     ⑧ 레지스트리에서 확인된 파일명에 해당하는 서비스 검색
         편집 → 찾기 → 찾을 내용에 [파일명]을 입력 후 확인
        

     ⑨ 검색된 서비스를 삭제
         검색된 파일명이 존재하는 "Parameters"의 상위 경로를 선택 → 마우스 오른쪽 → 삭제
        
         ※ 다른 정상 서비스를 삭제 시 시스템이 오동작할 수 있으므로 주의

     ⑩ 재부팅

□ 예방 방법
  o 네트워크 관리자
    - 운영 중인 보안장비에서 탐지가 가능하도록 최신 룰 업데이트
    - 외부로부터 TCP 139, 445 트래픽이 유입이 되지 않도록 차단하고, 기관/기업 내부
       네트워크에서도 자체 검토 후 불필요한 경우 차단

  o 일반 인터넷 이용자 
    - 윈도우에서 최신 보안업데이트 설치 및 개인방화벽 사용
    - 백신 사용 및 윈도우 보안업데이트 생활화
      ※ ISP에서는 인터넷 가입 고객에게 필히 최신 보안업데이트를 설치하도록 안내,불필요한 445
         포트는 자체 검토 후 차단

□ 참조사이트
[1] http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx
[2] http://www.krcert.or.kr/secureNoticeView.do?num=288&seq=-1
[3] http://www.pc-tools.net/win32/md5sums/
[4] http://www.krcert.or.kr/unimDocsDownload.do?fileName1=MS08067_Mal.pdf&docNo=TR2008006&docKind=2