2003. 8. 12. 12:05

[긴급] RPC DCOM 취약점을 이용한 Blaster 웜 확산

[긴급] RPC DCOM 취약점을 이용한 Blaster 웜 확산

* 아래의 정보를 통해 반드시 보안패치를 실행하시기 바랍니다.

윈도우 2000 계열(NT/2000/XP) 시스템 사용자는 아래와 같은 방법으로 Mircorsoft RPC 버퍼 오퍼플로우 취약점에 대한 패치를 적용해야 합니다.

[증상]

- 135번 포트 트래픽 발생한다.
- 시스템이 재부팅되기도 한다.
- 자세한 증상은 현재 분석중이다.

[내용]

Win32/Blaster.worm.6176 은 Windows NT 계열 ( NT/2000/XP/2003 )의 DCOM RPC 취약성을 이용해 전파되는 웜이다.

취약성을 가진 윈도우 시스템에서 감염되며 감염된 시스템은 135번 포트(epmap)의 트래픽이 현저하게 증가한다.


- 실행 후 증상

현재 보고된 파일이름은 MSBLAST.EXE ( 6,176 바이트 )로 이 웜에 감염되면 IP를 스캐닝해 DCOM RPC 취약성이 있는 시스템을 찾아 공격시도 후 웜 파일을 복사 후 다음 레지스트리 내용을 추가해 웜이 자동실행되게한다.

HKEY_LOCAL_MACHINE
\\SOFTWARE
\\Microsoft
\\Windows
\\CurrentVersion
\\Run 에 Windows auto update 에 msblast.exe 등록



시스템에 따라 재부팅되는 경우도 보고되고 있다.


* 이 정보는 2003년 8월 12일 8시 30분에 최초 작성되었으며, 현재 자세한 정보는 분석중이다. 분석이 완료되는 대로 수정/업데이트될 예정이다.

[패치적용 방법]

1. 윈도우 [실행]-[Windows Update]메뉴를 선택합니다.
2. `업데이트 검색`을 선택합니다.
3. 설치할 중요 업데이트 항목에서 `823980` 를 선택하여 설치합니다. 이때 `823980` 뿐 아니라, 다른 보안 업데이트 항목도 함께 설치하기를 권장합니다.


[관련정보]

Microsoft RPC 버퍼 오버플로우 취약점 자세한 보기

출처 : 안철수 바이러스 연구소  

------------------------------------------------------------------

패치 다운로드

- Windows 2000 사용자
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=ko

- Windows XP 사용자
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ko

- Windows Server 2003 사용자
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=ko