Ȩ / ȸ»ç¼Ò°³ / ³Ê³ª¿ì¸® ¼Ò½Ä / °øÁö»çÇ×
±Ûº¸±â
[ÁÖÀÇ¿¹º¸] Codered.F Worm2003-03-15
Çѱ¹Á¤º¸º¸È£ÁøÈï¿ø CERTCC-KR ÀÔ´Ï´Ù.

                      [ÁÖÀÇ¿¹º¸]  Codered.F Worm
[°³¿ä]

ÀÌ ¿úÀº Áö³­ 2001³â 7¿ù¿¡ ¹ß»ýÇÑ Codered¿úÀÇ º¯Á¾À¸·Î 3¿ù 11ÀÏ ¿Ü±¹¿¡¼­ óÀ½ ¹ß°ßµÈ °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. ±âÁ¸ÀÇ Codred¿ú°ú µ¿ÀÏÇÏ°Ô IISÀ妽º ¼­ºñ½ºÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇÏ°í È®»ê¹æ¹ýµµ À¯»çÇϳª °ø°ÝÁֱⰡ Á¤ÇØÁ® ÀÖÁö ¾Ê´Ù´Â °ÍÀÌ ´Ù¸£´Ù. À§ Ãë¾àÁ¡À» ÆÐÄ¡ÇÏÁö ¾ÊÀº »óÅ·ΠIIS4.0, IIS5.0¸¦ ±¸µ¿ÇÏ´Â À©µµ¿ì NT/2000 ½Ã½ºÅÛ¿¡ ¿µÇâÀ» ÁÖ¸ç, ħÀÔÂ÷´Ü½Ã½ºÅÛ(Firewall)¿¡¼­ ÀϹÝÀûÀ¸·Î ¿­¾î³õ°í ÀÖ´Â À¥¼­ºñ½º¸¦ ÅëÇÏ¿© À¯Æ÷µÇ±â ¶§¹®¿¡ ÁÖÀÇ°¡ ¿ä±¸µÈ´Ù.

[ŽÁö¹æ¹ý]

Codered ¿ú °ø°ÝÀ» ¹ÞÀ¸¸é °ø°Ý ¼º°ø¿©ºÎ¿¡ »ó°ü¾øÀÌ ¾Æ·¡¿Í °°Àº ÇüÅ·Π·Î±×°¡ ³²À» ¼ö ÀÖ´Ù. ( IIS ·Î±× À§Ä¡- C:\WINNT/system32/LogFiles/W3SVC )

GET
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a HTTP/1.0
Content-type: text/xmlContent-length: 3379

±âŸ Firewall À̳ª ¶ó¿ìÅÍÀÇ ·Î±×¸¦ Á¡°ËÇÏ¿© À¥¼­¹ö°¡ ¾Æ´Ñ ´Ù¸¥ ½Ã½ºÅÛÀÇ 80¹ø Æ÷Æ®·Î Á¢¼ÓÇÏ´Â ·Î±×¸¦ Á¡°ËÇÑ´Ù. ÀÌ´Â ´ëºÎºÐ CodeRed ¿ú(¶Ç´Â Nimda¿ú) °ø°Ý¿¡ ÀÇÇØ ¹ß»ýÇÏ´Â ·Î±×ÀÏ °¡´É¼ºÀÌ Å©´Ù. ¶ÇÇÑ ¹é½ÅÇÁ·Î±×·¥À¸·Î Á¡°ËÇϸé Codered¿úÀ¸·Î ŽÁöµÇ±âµµ Çϸç,
½Ã½ºÅÛ ·çÆ®µð·ºÅ丮¿¡ Æ®·ÎÀ̸ñ¸¶ ÆÄÀÏÀÎ Explorer.exe ÀÌ »ý¼ºµÇ±âµµ ÇÑ´Ù.


[ÇÇÇØÁõ»ó]

»çÀÌÆ® ³»¿¡ NT/2000 ½Ã½ºÅÛÀÌ ¸¹Àº °æ¿ì ³×Æ®¿öÅ© °úºÎÇÏ·Î ÀÎÇÏ¿© Á¢¼ÓÀÌ ´À·ÁÁú ¼ö ÀÖÀ¸¸ç, °£È¤ ´Ù¿îµÇ´Â Áõ»óÀÌ ¹ß»ýÇÒ ¼öµµ ÀÖ´Ù.
¶ÇÇÑ ÇØ´ç ¿ú¿¡ °¨¿°µÈ ÄÄÇ»ÅÍ´Â ¿ú¿¡ Æ÷ÇÔµÈ Æ®·ÎÀ̸ñ¸¶ ±â´ÉÀ» ÅëÇØ ¿ø°Ý¿¡¼­ Á¢¼ÓÇÒ ¼ö ÀÖµµ·Ï ·¹Áö½ºÆ®¸® °ªÀÌ Ãß°¡µÇ°í C µå¶óÀ̺곪 D µå¶óÀ̺êÀÇ ÆÄÀÏ¿¡ Á¢±Ù ±ÇÇÑÀ» °¡Áú ¼ö ÀÖ°Ô µÈ´Ù.

* local file system º¸¾ÈÀ» À§ÇÑ ±â´ÉÀ» ºñÈ°¼ºÈ­ ½ÃÅ°±â À§ÇØ ·¹Áö½ºÆ®¸® °ªÀ» º¯°æ½ÃÅ´

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable

* À¥ºê¶ó¿ìÀú¸¦ ÅëÇØ ¿ø°Ý¿¡ ÀÖ´Â °ø°ÝÀÚ°¡ Cµå¶óÀ̺곪 Dµå¶óÀ̺ê·Î ¾ï¼¼½º °¡´ÉÇϵµ·Ï
    ·¹Áö½ºÆ®¸®°ª »ý¼ºÇÔ

  HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\/SCRIPT
  HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\/MSADC


[°¨¿°½Ã Ä¡·á¹æ¹ý]

¹é½ÅÀ¸·Î ŽÁöµÇ¾úÀ» °æ¿ì¿¡´Â ¹é½ÅÀ¸·Î Ä¡·áÈÄ º¸¾ÈÆÐÄ¡¸¦ Àû¿ëÇÑ´Ù.

o º¸¾È ÆÐÄ¡ÆÄÀÏ : MS00-052, MS01-033, MS01-044
o º¸¾ÈÆÐÄ¡ (security bulletins) ÆÄÀÏ ±¸ÇÒ ¼ö ÀÖ´Â »çÀÌÆ®
   http://www.mi
´ÙÀ½±Û [°øÁö] Àü¼­¹ö¿¡ ´ëÇÑ ÆÐÄ¡°¡ ÀÖÀ» ¿¹Á¤ÀÔ´Ï´Ù.
ÀÌÀü±Û [±ä±Þ] Àå¾Ö º¹±Í Á¤»óÈ­ 19:50
 
  Ȩ ¤Ó ȸ»ç¼Ò°³ ¤Ó °³ÀÎÁ¤º¸Ã³¸®¹æħ ¤Ó ¼­ºñ½ºÀÌ¿ë¾à°ü  
  COPYRIGHT (c) 2011 YOUIWE ALLRIGHTS RESERVED