너나우리-너,나 우리가 함께 만들어가는 세상

너나우리개요

너나우리소식

제휴사소개

연락처 및 약도

홈 / 회사소개 / 너나우리 소식 / 공지사항

글보기

[주의]WORM_DELODER.A 웜 바이러스 예보2003-03-10

안녕하십니까?
한국정보보호진흥원의 CERTCC-KR 입니다.

WORM_DELODER.A 웜 바이러스 예보를 발령합니다.
========================================================

[주의]WORM_DELODER.A 웜 바이러스 예보

[바이러스 주의예보 CERTCC-KR-VN-2003-010]

☆ 개요
2003년 3월 9일 외국에서 처음 발견되었다. 네트워크 공유를 통해 전파되며, 아직 국내에 유입 유무는 확인되지 않았다. WORM_DELODER.A 웜바이러스에 감염되면 445 포트를 스캔하여 administrator 계정으로 접속을 시도하고, CNCERT(중국 CERT)에 의하면, 감염이 되면 원격에서 제어할 수 있는 백도어(5800 or 5900/TCP)를 열어놓고, 동시에 6667/TCP IRC Server에 접속을 시도한다.

☆ 전파방법
① 445/TCP 포트가 열려있는 시스템을 스캔한다.
② 445/TCP 포트가 열려있는 시스템의 Administrator Password가 다음과 같이 설정되어 있으면 침입하여 전파한다.
000000  00000000   111111  11111111
121212  123123   12345  123456
1234567  12345678   123456789  1234qwer
123abc  123asd   123qwe  54321
654321  88888888   abc123  Admin
admin  admin123   administrator  alpha
computer  database   enable  foobar
godblessyou  ihavenopass  Internet  Login
login  mypass   mypc123  oracle
owner  passwd   Password  password
patrick  pw123   secret  server
super  sybase   temp123  test123
ypass123

③ 다음과 같은 위치에 자신(Dvldr32.exe)을 복사하고 백도어 프로그램(inst.exe)를 복사하여 설치한다.
\%s\C$\WINNT\All Users\Start Menu\Programs\Startup\
\%s\C\WINDOWS\Start Menu\Programs\Startup\
\%s\C$\Documents and Settings\All Users\Start Menu\Programs\Startup\

※ \%s = 원격 시스템의 네트웍 이름

④ 원격에서 제어할 수 있도록 5800 or 5900/TCP 포트를 열어 놓는다.

⑤ 6667/TCP 포트를 이용하여 IRC Server로 접속을 시도한다.

☆ 피해증상

? 원격에서 접근할 수 있도록 백도어 프로그램(inst.exe)을 설치하여 5800 or 5900/TCP 포트를 열어놓는다.
? 다른 IRC Sserver로 접속(6667/TCP)을 시도한다.
? 재 부팅시 동작하기 위하여 자신을 시스템에 복사하고, 레지스트리 값에 등록한다.
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
messnger = Dvldr32.exe

☆ 감염시 치료방법

- 다음 사이트에서 백신을 다운받아 최신 버전으로 업데이트 한 후 치료한다.
※ 트랜드마이크로 : http://www.trendmicro.com/download/tsc.asp
※ 시만텍 : http://www.symantec.com/downloads/

- 수동으로 치료하는 방법
? CTRL+SHIFT+ESC를 동시에&

다음글	DB서버호스팅을 받으시는 분들께 알려드립니다.

이전글	웹메일서버 이전작업이 있습니다

	홈 ㅣ 회사소개 ㅣ 개인정보처리방침 ㅣ 서비스이용약관
	COPYRIGHT (c) 2011 YOUIWE ALLRIGHTS RESERVED