MS RPC 관련 Worm 피해 발생과 해결방법 ::: bcpark.net

자유롭게 게시물을 올릴수있는 게시판입니다.

BCPARK 유튜브 구독 감사합니다. BCPARK 유튜브 구독 감사합니다.
비씨파크 회원 뭉쳐서 100만 유튜브 채널 가즈아~~~

MS RPC 관련 Worm 피해 발생과 해결방법

정보통신부는 MS 윈도우즈 RPC 기능상 취약점을 이용한 DCOM 웜 피해가 국내에서도 발생됨에 따라 8월12일자로 경고단계의 경보를 재발령하였다.

현재 KT, 데이콤 등의 가입자단 PC 일부가 취약점을 이용한 웜 공격에 의해 다운되는 상황이 신고되었으며, 미국 등에서도 급속히 웜이 확산되고 있는 것으로 알려졌다.

MS DCOM RPC 웜은 RPC 취약점으로 135번 포트가 열려있는 PC의 경우 msblast.exe라는 파일형태로 4444번 포트를 통해 다운되고, 재부팅 후에도 계속 PC에 상주하여 다른 PC를 공격하는 것으로 분석되었다.

해당 웜에 의한 피해를 막기 위해서는 반드시 MS에서 제공하는 패치화일을 다운로드 받아 설치하여야 하며, ISP 등 네트워크 관리자는 135번, 139번, 445번, 4444번 포트의 모니터링을 강화하고 135번 트래픽이 평균보다 높게 나타날 경우 ACL을 걸어 차단하여야 하며, 웜에 이용되는 4444번 포트를 즉시 차단하여야 한다고 정통부는 밝혔다.

현재 가장 많이 사용되고 있는 MS 윈도우즈 NT/2000/XP 운영체제에 내장된 원격프로시져호출(RPC, Remote Procedure Call)과 관련된 취약점이 발견된 것은 지난 16일이며, KISA는 이미 17일 보안권고문을 게재하였고 28일 경고 수준의 경보를 발령한 바 있다.

o 보안 패치된 버전을 다운로드 받아 설치
- //www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp

◈ 제목
Microsoft RPC 버퍼 오버플로우 취약점

◈ 개요
Microsoft RPC (Remote Procedure Call)에서 버퍼 오버플로우 취약점이 발견되었다. 공격자는 취약점을 가지고 있는 시스템에 특수하게 제작된 데이터를 전송함으로써 시스템 권한을 획득하는 것이 가능하다. 취약점을 가지고 있는 버전의 OS를 사용하는 시스템은 반드시 Microsoft사에서 제공하는 패치를 적용할 것을 권고한다.

◈ 공격유형
시스템 취약점을 이용한 버퍼 오버플로우 (Buffer Overflow)공격

◈ 해당시스템
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

◈ 영향
이 취약점은 시스템 내부에 유입되는 데이터의 예외처리 과정에서의 결함을 이용한 버퍼 오버플로우 취약점이다. 공격자는 RPC 프로토콜에서 사용하는 135번 Port를 통해 특수하게 제작된 패킷을 전송함으로써 취약점을 가지고 있는 시스템에 버퍼 오버플로우를 발생시킬 수 있고 이를 통해 원격에서 공격자가 의도하는 코드를 실행할 수 있다. 그리고 그 결과 공격자는 시스템 권한을 획득하는 것이 가능하게 된다.
이 취약점을 이용한 공격이 성공했을 경우 공격자는 로컬 시스템 내의 데이터에 대한 삭제나 사용자 계정 생성과 같은 작업을 실시할 수 있다.

◈ 설명
RPC는 Windows 에서 원격 시스템의 서비스를 사용할 수 있도록 해주는 프로토콜이다.
취약점은 RPC에서 TCP/IP를 통한 메시지 교환을 처리하는 과정 중 비 정상적인 데이터를 처리하는 방식에서 발견되었다. RPC에서 TCP/IP의 135번 포트에서 수신 대기하는 기본 DCOM 인터페이스에 비정상적인 데이터를 검사하지 않고 전달함으로써 DCOM에서 잘못된 데이터로 인해 버퍼 오버플로우가 발생하고 공격자는 이를 이용하여 원격에서 자신이 원하는 코드를 실행시킬 수 있다.

◈ 해결책
외부에서 시스템으로의 불필요한 접근을 미연에 방지하기 위해서 Firewall을 사용하는 것이 바람직하다. Firewall을 사용하는 것은 현재 시스템에서 가지고 있는 취약점에 대한 방어뿐 아니라 미래에 발생할 수 있는 취약점에 대한 잠재적인 위험요소에 대한 대책이 될 수 있다.

OS의 취약점을 근본적으로 해결하기 위해서 Microsoft사에서 제공하는 Hotfix를 다운로드하여 이를 적용한다.
각 OS별 Hotfix 파일은 아래의 경로에서 다운로드 할 수 있다.

Windows NT 4.0 Server
//microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=ko

Windows NT 4.0 Terminal Server Edition
//microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

Windows 2000
//www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=ko

Windows XP 32 bit Edition
//www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ko

Windows XP 64 bit Edition
//www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

Windows Server 2003 32 bit Edition
//www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=ko

Windows Server 2003 64 bit Edition
//www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en

PS. XP용은 본 게시물에 첨부되어 있다.

비씨파크 카카오톡 오픈채팅방 오픈! gogogo~~~
[초대코드 bcpark]

written by 박병철 (bcpark)

2003-08-12 11:50:43

6007 번 읽음

이 글에 총 1 개의 파일이 첨부되어 있습니다.

WindowsXP-KB823980-x86-KOR.exe (1.23MBytes)

총 50 개의 댓글이 있습니다.

의견감추기 리스트보기 펼쳐보이기

1. MoMus '03.8.13 7:46 PM 신고

:)*msblaster.exe 라는 프로세서를 끄신다음 레지스트리에서 자동실행되는것 지우신다음에 패치받아서 까세요. ↓댓글에댓글
2. 하나비시 카오루 '03.8.13 3:08 PM 신고

:)*이걸로.. 하드가 고장났는데.. A/S기간이 안지나도 어디서 산지 몰라서..A/S조차 받지 못하는 이 내 마음을 누가 알지오 ㅠㅠ ↓댓글에댓글
3. 보이드 '03.8.13 10:25 AM 신고

:)*전 어제 마이크로소프트 사이트 뒤져서 겨우 고쳤는데.. ↓댓글에댓글
4. 별명없음 '03.8.13 9:44 AM 신고

:)*아이고 착하다...
정보통신부야...
아이고 착하다...
마소야...
아이고 착하다...
빌게이츠야...
아이고 죽을래...
서버 3시간 동안 맛 갔다!!!!!!!!!! ↓댓글에댓글
5. 닉네임 '03.8.13 4:26 AM 신고

:)*이거때문에 서비스에서 rpc찾아서 재부팅시간 한시간으로 늘려노쿠 썻는데 이러케 조은자료 올려주셔서 감사 후후 ↓댓글에댓글
6. 그레그 '03.8.13 7:27 AM 신고

:)*이미 시작이 된걸로 알고 있습니다
이미 윈xp 를 중추로 해서 빠르게 확산 되고 있고 as전화가 거의 폭주 상태에 이르렀다고들 합니다 .그런데 pc를 사용히는 것이 가정 집이라 막다른 해결책을 모르고 무조건적으로 as를 먼저 부른다는군요 ↓댓글에댓글
7. 김흥수 '03.8.13 1:22 AM 신고

:)*헐 이상은 없는데........에브리존 온라인 백신 해보니 바이러스가 30개.....헉..
이런적이 없었는데,.,.이런 된장,....스타 할려구하니...배틀넷두 안된고
열받게 하네...........아.................젠장.,........치료하구 재부팅해보구 다시
검 ↓댓글에댓글
8. 천상천하유아독존 '03.8.13 3:35 AM 신고

:)*아 씨... 나도 웜 걸려갇고 2틀동안 포멧만 해댔습니다...
데이콤 쓰는데 항의 나 함 해볼까...
웜 바이러스 내가 차자가서 확실히 삭대하고 오는중 -_- 써글...포멧만 80번은 한것같네... ↓댓글에댓글
9. 닉네임 '03.8.13 11:22 PM 신고

:)*그것은 아마 자동업데이트 때문인것 같습니다.
포맷해도 msblaster.exe 파일은 안지워짐.........안전모드로가서 찾기에서 지우면 된다던데...... ↓댓글에댓글
10. 하늘빛초야 '03.8.13 9:29 PM 신고

:-D*ㅡㅡㅋ 저기염...저도 xp인데염 문제없이 오늘 잘됬는데 .........
무슨일인지......쩝,,,,,, ↓댓글에댓글
11. MoMus '03.8.13 7:47 PM 신고

:)*전 발생하자마자 포트찾아서 고쳐버렸다는.,...-0- ↓댓글에댓글
12. 싸카매니아 '03.8.13 1:14 AM 신고

:)*재부팅 경고메세지 뜨면 시작 -> 실행에서 shutdown -a 이거 치세여..그럼 경고메세지
사라짐다 아까 누가올린건데 다시한번..........진작에 비시파크 와봤더라면 윈도 다시까는일은 없었을텐데......쩝~~~ ↓댓글에댓글
13. 논뚜렁깡패 '03.8.12 9:19 PM 신고

:)*하여튼 마소직원들 짜증납니다..그때 내말만 들었서도 이런일은 없었을건데요

아..그런데 이제 채팅하면서 RPC 다운은 못하겟내요 ..^^* ↓댓글에댓글
14. 구현모 '03.8.12 9:51 PM 신고

:)*근데 이 바이러스 걸리고 나서 인터넷 속도가 떨어진 것 뭣 때문인가요-_-?
하나로 프로 쓰는데 예전엔 8M~9M 의 속도가 지금은 2M도 잘 안나오네요.. ↓댓글에댓글
15. 안택수 '03.8.12 10:03 PM 신고

:)*Win2.3 스탠다드인데요. msblast.exe도 없고 netstat로 봐도 별 이상이 없는데 속도가 엄청나게 느려졌습니다; 대체 어찌 된 영문인지;; ↓댓글에댓글
16. 검정고무신 '03.8.12 10:42 PM 신고

:)*아직까진 웜 바이러스에 의한 증상은 없으나.. 패치했습니다..^^;; ↓댓글에댓글
17. 논뚜렁깡패 '03.8.12 11:16 PM 신고

:)*아참....그리고 저가 누커파일 올려줄까요...바이러스의 원본파일.. ↓댓글에댓글
18. 닉네임 '03.8.12 11:21 PM 신고

:)*음.. 이 웜 그냥 단순한 바이러스 인줄 알고 포맷했더니 설치 자체에서 오류가
발생되네요. 어찌 해야할지? ↓댓글에댓글
19. XXXXXX '03.8.13 12:05 AM 신고

:)*ㅇㅎㅎ 공유기 쓰는게 도움이 될때가 또 있군,, ㅋㅋ ↓댓글에댓글
20. 김수정 '03.8.13 12:57 AM 신고

:)*전 이미 패치 파일을 받아서....;; 별 문제 없습니다만..... 아는 분이 마이크로 소프트 홈피 들어가서.... 보안 파일만 다 받아도.... 별 문제가 없다는군요..;; ↓댓글에댓글
21. 김종호 '03.8.13 12:57 AM 신고

:)*저도 공유기로 살아났습니다 -_-;;;
공유기의 방화벽 쓰잘데없는줄알았는데 이럴때는 좋네요 -_-a ↓댓글에댓글
22. 김승모 '03.8.12 4:12 PM 신고

:)*-_-이번 에는 우리 꼭 막아요 ㅋㅋ

인터넷 강국 대한민국 ㅋㅋ ↓댓글에댓글
23. Mr.S '03.8.12 4:18 PM 신고

:)*어제밤부터 이것땜시 미치는줄 알았슴. 윈도우 세번다시 깔고 인터넷 뒤저서 해결. 의외로 간단히해결되더군요...... ↓댓글에댓글
24. ~병아리~ '03.8.12 5:16 PM 신고

:)*어.. 이게 오늘 KBS 5시뉴스에 나온건가요? 저도 느려졌는데.. 윈 2000에서 SP3설치하는게 나오더라고요.. 조금 전에요.. ↓댓글에댓글
25. CASSIOPEIA '03.8.12 5:49 PM 신고

:)*이 웜때문에 IP공유기가 뜨는군요.
IP공유기를 설치한 쪽은 피해가 거의 없다고 하는 기사가 실렸습니다.

http://news.inews24.com/php/news_view.php?g_serial=96569&g_menu=020200&pay_news=0 ↓댓글에댓글
26. gladiator '03.8.12 6:07 PM 신고

:)*아침에패치하고 났더니 괜찮던데여 오류,재부팅도 안되고 ...... 인터넷 쓰는데는 아무문제 없습니다. 나중에 백신으로 잡아버렸져 ↓댓글에댓글
27. . '03.8.12 7:37 PM 신고

:)*정말 고약한 웜이네요.. 패치설치 하려고 하는데 밥먹으라고 하셔셔 밥먹고 왔더니 웜에 걸려서 재부팅 하고 있더군요 어이가 없어서... ↓댓글에댓글
28. 박재홍 '03.8.12 7:51 PM 신고

:)*날짜를 바꾸고 패치 다운 받으면 돼는데... ↓댓글에댓글
29. 연이 '03.8.12 8:07 PM 신고

:)*방화벽 켜놓고 있으면 재부팅 안된답니다~^^ ↓댓글에댓글
30. ㄱ나니T=i '03.8.12 8:16 PM 신고

:)*내 오늘 이것 때문에 8시간 고생했습니다. 포멧도 해보고 다시 다운 되니 재 포멧하고

파티션 제거하고 허허..바이러스 탓이라니 ↓댓글에댓글
31. -J- '03.8.12 8:37 PM 신고

:)*저도 공유기 설치해 놓고 2대 쓰는데 아무 문제 없었습니다.ㅋㅋㅋ ↓댓글에댓글
32. 논뚜렁깡패 '03.8.12 9:17 PM 신고

:)*RPC 이거 흔의 다운먹이는 사람들 사이에는 윈누커로 통합니다.
전 취미로 채팅을 하기때문에 다운같은거 많이해봤습니다.
올해 2 월달에 오류창뜨면서 확인클릭하면 60 초 후 재부팅 된다고 나와서
저나름대로 방화벽 설치해서 방어는 했습니다. ↓댓글에댓글
33. 논뚜렁깡패 '03.8.12 9:17 PM 신고

:)*(다른사람이 저를 다운미겨서) ↓댓글에댓글
34. 논뚜렁깡패 '03.8.12 9:18 PM 신고

:)*한국 마소에 전화해서 누커 도스 파일까지 보내주고 해서 보안패치좀
해주라고 하니까.. 그쪽에서하는말은 악의적인 목적을 가진자들이
뭐가 어찌고 저찌고 계속 오리발만 내미는겁니다..
그래서 저가 말햇죠..그럼이걸 좀더 강하게 누가 바이러스로 ↓댓글에댓글
35. 논뚜렁깡패 '03.8.12 9:18 PM 신고

:)*IP 스캐닝해서 무자기로 공격하면 어찔라고 그럽니까 하니까..
궁시렁 궁시렁 하더군요. 전 이런상황이 올줄알고..방화벽을 설치해나아서
피해는 입지 안았습니다..
방화벽도 블랙아이스,존 알람은 못잡아 내더군요..시게이트 방화벽만 잡아내구요. ↓댓글에댓글
36. nevertheless™ '03.8.12 3:11 PM 신고

:)*아침부터 이노무 컴이 왜이러나 포맷--ㅋ 생각하던중에 비팍에 왔다가 원인을 찾았
네요..휴~ 울컴이 윈2000, XP 멀티인데 둘다 맛이 갔었다는...컥..비팍 역쉬~ㄳㄳ ↓댓글에댓글
37. 정재홍 '03.8.12 3:21 PM 신고

:)*아뛰 오늘 로우 포맷하고 다시 깔아서 패치 했서유,,,,,
패치할떄 반드시 다운받고 랜카드 케이블 빼고
재시작후 패치하세유... ↓댓글에댓글
38. 싸카매니아 '03.8.12 2:23 PM 신고

:)*근데 v3로 검사해도 바이러스가 검색이 안되는데 님들도 그런가여??? ↓댓글에댓글
39. 블루 '03.8.12 2:32 PM 신고

:)*저는 아침일찍 바이로봇을 업데이트시킬때는 업데이트하고 바이러스검색해도
안잡히더니만 조금 있다 다시 업데이트 시키고 나니 자동치료 되더군요.
msblast.exe 파일을 실시간으로 검색해서 치료하더군요. ↓댓글에댓글
40. 대류 '03.8.12 2:45 PM 신고

:)*이거 개인사용자도 설치해야 하나요? 서버관리자만 하는건가요? ↓댓글에댓글
41. 샤이닝 '03.8.12 2:50 PM 신고

:)*왜 자꾸 재부팅되는가 했더만..이런 사단이 벌어졌군요..얼릉 패치파일 받아 깔아야 겠슴다.. ↓댓글에댓글
42. 나노우스나 '03.8.12 2:05 PM 신고

:)*우리집 컴도 계속 재부팅 되네요 ㅠㅠ 이거 컴 느려지거나 뭐 피해가는 거 있나요??
패치 깔아봐야겠다.......... ↓댓글에댓글
43. 상록수 '03.8.12 1:54 PM 신고

;-)*일반유저분은 꼭 패치를 하시구여..특히 2000사용자분들 그리고 관리자님들은 135.4444.139.445 포트를 ACL 걸어서 꼭 차단을 하시고 트래픽이 올라오는지 확인하세여
젠장..트래픽 장난아니게 올라오넹...흑흑 ↓댓글에댓글
44. 원반 '03.8.12 11:58 AM 신고

:)*뉴스에도 나오겟네요
이것때매 집에 컴안돼서 겜방와서 패치 다운받아갑니다 ↓댓글에댓글
45. 말할수없음 '03.8.12 12:10 PM 신고

:)*그것땜에 포맷햇는데 ㅠㅠ 괜히 해따.. 저기 우리집은 받기도 전에 꺼지는데 어찌할까요? ↓댓글에댓글
46. 溫暖乾燥 '03.8.12 12:20 PM 신고

:)*링크 좀 걸어주세요 복사 붙이기도 이젠 안 돼네 미티~ ㅡㅡ^ ↓댓글에댓글
47. jadakiss '03.8.12 12:32 PM 신고

:)*아까부터
겟ㄱ
svchost.exe
이거 뜨더니만 바이러스 업데이트 해서 검사해서보니 웜하나나오더군여
지웠더니
그래두 문제가 생기더군요! 그래서 마이크로 홈가서 패치 받구나니그런현상이 없어지더군요! 여러분 조심하세여! ↓댓글에댓글
48. 어린이 '03.8.12 12:33 PM 신고

:)*[시작]버튼 - [실행] - 엔터를 치시고 아래 명령을 삽입후에 엔터쳐 주세요.

shutdown -a

이렇게 하면 재부팅이 중단됩니다. ↓댓글에댓글
49. 어린이 '03.8.12 12:34 PM 신고

:)*http://www.hatbal.co.kr/vrblaster.com
이거 받아바요. 하우리에서 백신인데 ↓댓글에댓글
50. 모야 '03.8.12 1:02 PM 신고

:)*설명이좀...모자라네요..www.inpl.net 왼쪽 공지사항 클릭후 4번째 목록에..해당다운로드 클릭하시고 다운받아서 패치하시면 됩니다...윗분처럼 shotdown -a쳐도 다운이 되시는 분은 패치파일 다운받으시고 인터넷 랜선을 뽑고 패치를 하시면 다운은 안될겁니다.. ↓댓글에댓글

☞ 로그인 후 의견을 남기실 수 있습니다

홈페이지 운영하세요? 용량과 트래픽과 가격으로 고민하셨어요?
비씨파크 평생 무제한 웹호스팅

목록보기

수정하기

삭제하기

작성하기