최근 Conficker 중복감염 증상이 나타나고 있습니다. MS08-067 취약점을 이용한
Worm.Conficker, Win32.Worm.Downadup.Gen 악성코드가
USB와 네트워크를 통해 다시 점차 확산되고 있습니다.
Worm.Conficke 악성코드는
다른 추가적인 악성코드를 다운로드 받아 설치하고
인터넷 속도 저하 혹은 장애 현상을 가져올 수 있으므로
PC 예방 조치를 필수적으로 시행해야 합니다.
[감염 현상]
1)계정 잠금 정책이 실행됩니다.
2)자동 업데이트, BITS(Background Intelligent Transfer Service),
Windows Defender 및 오류 보고 서비스가 사용되지 않게 설정되어 있습니다.
3)도메인 컨트롤러가 클라이언트 요청에 느리게 응답합니다.
4)다양한 보안 관련 웹 사이트에 액세스할 수 없습니다.
5)보안 패치가 되지 않은 PC를 원격지점에서
공격자가 통제하도록 할 수 있는 권한을 부여합니다
6)다른 악성코드를 추가적으로 다운로드하는 등
추가적인 감염을 위해 과도하게 패킷을 발송하여
인터넷 속도를 저하시키거나 인터넷 연결 장애 현상을 초래합니다
[전파 방법]
1)보안 업데이트 958644(MS08-067)에 의해 패치되는 취약성 이용
2)네트워크 공유 사용
3)자동 재생 기능 사용
위의 방법으로 전파되므로 네트위크를 정리할 때는 이전에 정리한 시스템에
위험요소가 다시 침투되지 않도록 주의해야 합니다.
[치료 방법]
Worm.Conficker 전용백신 다운로드하기
※ Worm.Conficker 전용 백신을 실행하면
자동으로 시스템을 검사/치료하고 창이 사라집니다.
해당 악성코드의 변종 발생 가능성이 높으므로,
전용백신으로 치료해도 같은 증상이 반복해서 나타나는 경우
알약 프로그램의 [MENU] - 신고하기를 통해
혹은 알약 고객센터를 통해 신고를 부탁드립니다.
[예방 방법]
1. MS08-067취약점에 대한 보안패치를 업데이트합니다.
Microsoft MS08-067 취약점 정보
2. 알약의 DB업데이트를 최신으로 유지하여 줍니다.
3. USB(이동식 저장장치)의 자동실행(Autorun)을 통한
감염을 막기위해 USB 자동 실행을 차단하고,
현재 사용중인 공유 폴더 설정 해제를 권장합니다.
USB 자동실행 차단 툴 다운로드
※ "자동실행 차단" 버튼을 누르면
autorun.inf를 통한 USB(이동식 저장장치)의 자동실행 기능이 차단됩니다.
4. 윈도우 사용자계정에 문자+숫자, 6자리 이상의 암호를 설정해 주세요.
PC에 암호가 없거나 너무 쉬우면 근처에 있는 다른 감염된 컴퓨터에서
원격으로 악성코드를 설치할 수 있습니다.
※ 윈도우 제어판 - ‘사용자 계정’을 실행하시면 암호를 설정하는 메뉴가 나타납니다.
- 기타 추가 조치 사항
기업의 네트워크나 보안 관리자께서는 방화벽이나
IPS에서 TCP 139, 445번 포트 차단을 권장합니다.
|