MS 취약점 및 USB 자동실행을 이용한 악성코드 확산 주의

▣ 개요

MS08-067 취약점을 악용하는 악성코드에 의해 국내 일부 인터넷 사용자 PC의 인터넷 접속 장애사례가 발생한 이래 해당 악성코드의 변종에 감염된 PC의 숫자가 급격히 증가해 주의가 요구됨

▣ 악성코드 감염 피해 사례

Conficker 또는 Downadup으로 명명된 악성코드는 MS08-067 취약점 이외에도 네트워크 공유에 대한 비밀번호 무작위 대입 공격과 USB와 같은 이동형 저장장치를 통해 전파됨

▣ 악성코드 피해 증상

• 임의의 IP로 과도한 스캔 패킷을 발생시켜 HTTP, FTP등 TCP 기반의 통신 장애 유발
• 특정 문자열이 포함된 도메인들에 대한 DNS 요청을 모니터링하여 해당 도메인들에 대한 액세스 차단

▣ 조치 방법

◈ S08-067 취약점을 이용하는 Conficker (또는 Downadup) 의 경우 아래 악성코드 치료 전용백신 이용

• 안철수연구소 : http://download.ahnlab.com/vaccine/v3conficker.exe
• 하우리 : http://download.hauri.net/DownSource/down/dwn_antivirus_down.html?uid=57
• F-Downadup Removal Tool : ftp://ftp.antivirus.fi/anti-virus/tools/beta/f-downadup.zip
• Symantec : http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe
• BitDefender : http://download.bitdefender.com/resources/files/Download/en/anti-downadup.zip
• 마이크로소프트 악성 소프트웨어 제거 도구(MSRT) : http://download.microsoft.com/download/4/A/A/4AA524C6-239D-47FF-860B-5B397199CBF8/windows-kb890830-v2.6.exe

◈ 수동 복구

• 단계가 많고 복잡해서 설정 상의 실수로 시스템 오류를 일으킬 수 있으므로 전용 백신의 사용을 권장함
  

▣ 예방 방법

◈ 네트워크 관리자

• 운영 중인 보안장비에서 탐지가 가능하도록 최신 룰 업데이트
• 외부로부터 TCP 139, 445 트래픽이 유입이 되지 않도록 차단하고, 기관/기업 내부 네트워크에서도 자체 검토 후 불필요한 경우 차단

◈ 일반 인터넷 이용자

– MS08-067 보안업데이트[1] 설치

※ 현재까지 나온 모든 보안업데이트 적용 권고
※ 윈도우 자동 업데이트 설정
시작 → 제어판 → 자동 업데이트 → 자동(권장) 체크 → 적용 → 확인

– 개인방화벽 및 백신 사용의 생활화

– Conficker (또는 Downadup)의 경우, MS08-067 취약점외에 폴더공유 및 이동저장매체를 통해서도 전파되므로, 아래와 같은 예방조치 필요

. 불필요한 파일 공유는 제거하고, 필요하다면 적절한 권한 제어와 유추하기 힘든 비밀번호 설정

. 자동 실행 기능을 사용하지 않도록 설정하여 이동식 드라이브의 실행파일이 자동으로 실행되는 것을 방지

※ 첨부파일(usbguard.zip) 압축해제 후 usbguard.exe 실행

※ 프로그램 출처 : 국가사이버안전센터(NCSC)