Conficker 웜과 MSRT

Conficker 웜과 MSRT

  • Comments 2
  • Likes

마이크로소프트에서 매월 MSRT (악성 소프트웨어 제거 도구, Malicious Software Removal Tool)라는 간단한 안티바이러스 툴을 자동 업데이트와 윈도우 업데이트로 배포하고 있습니다. 패치와 함께 다운로드되고 실행돼 시스템을 스캔해 악성 코드가 있으면 제거합니다. 그런데 일반적인 상용 안티바이러스 제품처럼 실시간 모니터하는 기능은 없으며, 악성 코드로 진단하는 대상도 아주 작습니다. 그 때 그 때 유행하고 있으며 위험도가 큰 100여개의 악성 코드와 그 변종만을 검색합니다. 아주 가볍게 만든 툴이지요.

매월 몇 개씩 진단 대상이 추가되기도 하고 줄어들기도 하는데, 이번 달에는 BanloadConficker가 새로 진단되도록 목록에 들어갔습니다. 최근 몇몇 기업에서 심각한 문제가 된 Conficker.B를 비롯해 1월 11일 이전에 나왔던 변종도 모두 포함합니다.

아래 그림에서 보시는 것처럼 Conficker는 다양한 감염 경로를 가집니다. 클릭하면 저희 악성 코드 대응팀(MMPC) 블로그로 갑니다.

 

Conficker 감염 경로

 

윈도우의 서버 서비스 취약점을 공격하기 때문에 이를 해결하는 보안 패치 MS08-067을 반드시 설치해야 합니다. 이 MS08-067 보안 공지는 지난 10월에 예정에 없이 긴급하게 나왔던 것인데 웜 형태의 공격이 수차례 예견되고 작년에 실제 나타났던 일이 있습니다.

이 취약점 공격만큼 흔한 공격 경로가 네트워크 공유에 암호를 몇 백 가지 대입하는 brute force 공격입니다. Conficker.B 페이지의 두 번째 탭, Analysis를 열면 얘가 가지고 있는 암호 대입 사전이 보입니다. 중요 서버의 관리자 암호를 이 중 어떤 것으로 했다가 이번에 악성 코드에 감염되어 땀 좀 흘리신 분이 계실 겁니다.

또 USB 메모리 같은 이동식 디스크의 autorun을 통해서도 감염됩니다. 이를 막으려면 자동 실행 기능을 끄든지, 잘 잡는 안티바이러스 제품의 실시간 모니터링 기능을 반드시 켜 놓아야 합니다.

전하는 소식에 의하면, 이번 Conficker는 검색을 피하기 위해 자신을 변형시키는 polymorphism 기능이 약간 진화한 점이 있어 안티바이러스 업체에서는 약간의 추가 작업이 필요했다고 하네요.

윈도우 취약점의 보안 패치 설치, 안티바이러스 제품 사용, 방화벽 사용, 이동식 디스크 사용 주의, … 온갖 예방 및 주의 방법이 동원되는 악성 코드이니 기업의 IT 관리자와 가정 사용자 모두 주의가 필요합니다. 이미 감염된 경우 MSRT를 다운로드 받아 실행해 보시기 바랍니다.

Comments
  • USB 플래시 메모리의 자동 실행(autorun)을 통해 웜/바이러스 등 악성 코드가 퍼지는 것은 새로운 현상이 아닙니다. 요즘 워낙 Conficker 악성 코드가 큰 피해를 주고

  • 마이크로소프트 보안 대응 센터(MSRC) 블로그 에 의하면, Conficker 웜을 만들어 퍼뜨린 책임이 있는 자를 체포하는 데에 결정적 공헌을 한 경우 현상금 25만 달러를 제공한다고

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment