자료실

자료실


	전체 (105) » 일반 (10) Vga (11) Sound (9) Network (7) Utility (39) Windows (28)

운영자

(2003-08-20 14:41:55, Hit : 1403, Vote : 238)

http://www.dnewtec.net

vrblaster_kor.exe (172.5 KB) Download : 410

Worm.Win32.Blaster.6176/7200 전용 백신 프로그램

2003년 8월 11일에 발견된 Worm.Win32.Blaster.6176의 변형으로서 2003년 8월 13일 외국에서 발견보고 되었으며 국내에도 2003년 8월 14일부터 확산되기 시작하였다.

[확산 방법]

2003년 8월 11일 발견된 Worm.Win32.Blaster.6176과 확산 방법과 동일한 DCOM RPC 취약점을 이용하여 확산되며, 역시 TCP 135번 포트를 사용한다.

자세한 확산 방법은 다음의 원형 정보를 참고 한다.

- Worm.Win32.Blaster.6176 정보 자세히 보기

[원형과 차이점]

Worm.Win32.Blaster.7200이 원형과 다른점은 기존 "msblast.exe" 에서 "penis32.exe"로 변경되었으며 새롭게 컴파일 되었다.

자세한 증상은 아래의 정보를 참고한다.

- Worm.Win32.Blaster.6176 정보 자세히 보기

파일명이 변경되었으므로 프로세스명도 다음과 같이 변경되었다.

- penis32.exe

*최초 작성 : 2003년 8월 14일 오전 10시 40분 HAURI Inc.

♣ 치료방법

- 2003년 8월 14일자 긴급 업데이트 버전에서 진단 및 치료(웜 파일 삭제) 기능을 제공한다.

- 근본적으로 이와 같은 웜에 대한 공격을 막기 위해서는 다음의 OS를 사용하는 사용자는 반드시 아래의 사항을 숙지하여 보안 패치를 해야 한다.

- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003

[서버 관리자]

이 웜은 135번 포트의 공격으로 보안에 취약한 PC를 공격하기 때문에 135번 포트를 방화벽에서 막을려고 하면 안된다. 135번 포트는 일반적으로 많이 사용하는 포트이기 때문이며 이 웜이 tftp를 통해서 다운로드 받기 때문에 UDP 69번과 웜이 숨겨둔 쉘 코드 접속을 막기 위해 4444번 포트를 방화벽에서 막는것이 우선적으로 효과적이다.

-->