이와 관련된 정보는 2003년 12월 13일경부터 계속 업데이트 되고있으니 수시로 체크해 주시기 바랍니다.

-------------------------------------------------------------------------------

최근에 많은 문의와 신고가 접수되고 있는 BOT 과 RPC 보안취약점 관련 악성프로그램(웜/백도어/트로이목마)들은 여러가지 윈도우 보안 취약점을 이용하여 감염되는 악성코드들입니다.

감염증상으로는 시스템이 자동종료되거나 트래픽이 증가하면서 CPU 사용률이 100% 로 급증하여 시스템이 다운됩니다.

또한 특정 창들이 자동으로 닫히는 증상도 있는데 레지스트리 편집기(regedit)창이나 시스템 구성유틸리티(msconfig)창등이 대표적으로 자동으로 닫힙니다.

대표적인 bot 변종 악성코드

Ago bot(=Gaobot)
Sd bot
IRC bot
Spy bot

국내에서 특히 피해가 많이 접수되고 있으며, 저희 카페에도 거의 매일 새로운 BOT 관련 변종이 신고접수되고 있습니다.

가장 큰 이유는 국내 유명 백신프로그램들이 대부분 UPX / ASPack / Neolite 등의 실행압축프로그램을 지원하지 못하고 있어, 실행압축된 변형을 진단하지 못하는 점과 컴퓨터 사용자들이 이와 관련된 내용을 알지 못하고 있다는 점입니다.

실제로 저희 카페에 계속 접수되고 있는 Agobot 이나 Sdbot 의 변종들은 대부분 UPX 나 ASPack 또는 Neolite 등으로 변형된 것들이 대부분을 차지하고 있습니다.

현재 다양한 실행압축프로그램을 지원하고 있는 일부 외산백신프로그램은 좀더 BOT 관련 변형을 예방/차단/진단/치료하는데 도움이 되고 있습니다.

많은 실행압축프로그램을 이용한 변형이 급증하고 있고, 소스가 공개된 BOT 관련 악성코드도 많기 때문입니다.

감염대상 컴퓨터는 윈도우2000 이나 XP 같은 2000 계열입니다. 윈도우98 에는 이와 관련된 보안취약 대상에서 제외됩니다.

이러한 악성코드들로 인한 감염 피해를 예방하시기 위해서는 OS 설치 후 마이크로 소프트사가 제공하는 서비스팩과 보안패치 등 윈도우 업데이트를 반드시 설치하셔야 하며, 또한 관리목적의 공유폴더의 취약점을 악용하는 악성코드를 막기 위해서 administrator, admin, guest 계정의 비밀번호를 타인이 추측할 수 없는 복잡한 조합을 적용해 주셔야 합니다.

최근에는 보안패치를 하기 위해 인터넷에 연결하자 마자 감염되는 사례가 많이 있고 이미 감염된 경우 후조치가 매우 어려운 경우가 많습니다.

그리고 보안패치하던 도중에 감염된 경우 악성코드의 부작용으로 인해서 보안패치를 못하게 되는경우가 매우 많습니다.

최악의 경우 백신사용도 어렵고 감염된 이후 인터넷을 차단하더라도 악성코드에 의해 시스템이 셧다운 되는 경우가 많습니다.

최근의 변종들은 백신에서 진단도 되지 않는것들이 많이 발견되고 있기도 하고, 감염된 경우 CPU 사용률이 급속하게 올라가 다른 추가 조치 작업을 방해하고 인터넷에 연결되더라도 링크된 주소를 클릭하거나 다른이름으로 보안패치 관련 파일을 다운로드할려고 시도해도 전혀 반응이 없는 경우가 발생합니다.

일단 보안패치 업데이트가 완료된 후에는 동일한 웜에 의한 재감염은 방지하실 수 있지만 업데이트를 하는 과정에서 주의하실 점이 많이 있으니 아래 내용을 참고해 주시면 감사하겠습니다.

윈도우XP 나 윈도우2000O 설치시에는 반드시 LAN 케이블을 제거한 상태에서 설치하시기 바라며, 서비스팩이나 보안패치 프로그램을 미리 준비해서 인터넷에 연결하기 전에 설치해 주시면 좋겠습니다.

또한 로그인 아이디와 암호는 반드시 administrator를 비롯한 모든 계정에 패스워드를 특수문자와 숫자를 포함한 7자 이상의 패스워드를 설정하시기 바라구요.

이는 설치중 감염되는 것을 방지하기 위해서이며, 매우 중요한 작업입니다.

윈도우 설치중에 감염될 경우 CPU 사용률이 100% 로 올라가는 증상으로 다른 추가적인 조치가 어려워지기 때문입니다.

윈도우 설치가 마무리되면 서비스팩이나 보안패치 프로그램을 설치해야 하는데 이때는 대부분의 사용자가 인터넷을 연결하는데 이때 감염되는 경우가 많아 보안패치를 못하는 사례가 빈번히 발생하고 있습니다.

그러니 미리 서비스팩이나 보안패치 프로그램을 CD 에 레코딩해서 보관해 두시고, 윈도우 설치가 마무리되었을 때 인터넷으로 보안패치를 하지 마시고 인터넷이 연결되지 않은 오프라인 상태에서 미리 준비해 두셨던 시디로 설치해 주시는 것이 가장 추천할 만한 방법입니다.

만약 준비된 서비스팩이나 보안패치 프로그램이 없다면..

온라인 방화벽 서비스를 제공하는 인터넷뱅킹과 같은 은행 홈페이지에 접속하여 방화벽 기능을 활성화 하신 상태에서 업그레이드를 하시는 것도 업데이트 도중에 외부에서 BOT 관련 악성코드가 유입되는 것을 방지할 수 있는 방법이 될 수 있으며 IP공유기를 사용하거나 방화벽프로그램을 설치해 두는것도 이런 종류의 악성코드를 막을 수 있는 방법입니다.

또는 부팅시 F8 키를 누르고 안전모드를 선택하여 반드시 안전모드로 부팅하여 준비해둔 보안패치를 설치해 주는것도 하나의 방법입니다.

윈도우 2000이상의 OS에 감염되는 BOT 변종들은 윈도우 2000의 관리목적 공유폴더의 사용자 암호관리 취약점을 악용하여 다량으로 확산하고 있습니다.

즉, 암호가 없거나 또는 누구나 유추하기 쉬운 암호를 사용하고 있다면 감염대상이 됩니다.

윈도우 2000 계열(윈도우 NT/2000/XP) 사용자는 administrator, admin, guest 계정의 비밀번호를 예상하기 어려운 것으로 바꾸시기 바랍니다.

즉, 비밀번호를 abc, 123, abc123, 88888, 6666, 1111등으로 설정하는 것을 삼가해 주시기 바랍니다.

최근 유행하는 BOT 관련 악성코드들의 대부분은 윈도우2000 이나 XP의 로그인 아이디와 암호가 단순하거나 지정되지 않았을 경우 침입하는 기능을 가지고 있습니다.

윈도우XP 의 RPC 보안 취약점이나 관리목적의 공유폴더 취약점 문제로 유입되는 악성 웜들이 실제 알려져 있는 것보다 피해가 큰 것으로 확인되고 있습니다.

대표적으로 BOT 관련 변형들과 블래스터 / 웰치아 웜등이 대표적입니다.

avzone 운영자가 자체 테스트를 해 본 결과 윈도우 XP 를 설치하고 인터넷에 바로 전용선을 통해서 연결된 경우 악성 웜등이 바로 유입/감염되며, 보안패치/공유해제를 해주지 못한 경우 치료에 상당한 어려움이 있는 것이 확인되었습니다.

일단 RPC 보안취약점을 이용할 경우 아래와 같이 종료창이 나오는 증상은 많이 알려져 있습니다.

GTBot(Global Threat Robot)은 mIRC 프로그램(인터넷 채팅 프로그램)을 이용해 다른 컴퓨터를 공격 할 수 있는 프로그램을 총칭합니다.

악성코드의 이름으로 많이 사용되는 BOT은 원래 robot의 줄임말이며, 보통 IRC 채팅 프로그램에서 클라이언트 또는 독립된 별도의 프로그램으로 실행된 것을 의미하는 용어로 사용되어 왔습니다.

하지만 최근에는 mIRC 뿐만 아니라 관리목적 공유폴더의 취약점과 RPC 보안취약점등을 이용하여 많이 확산되고 있기도 하며, 이들 악성 프로그램의 변형중에는 스스로 퍼지고 백도어 기능을 포함하기도 합니다.

전파 경로는 일반적인 이메일 웜과 같이 이메일을 이용하기도 하지만 사용자가 윈도우 암호를 간단히 설정해 감염되는 경우가 더욱 많습니다.

감염시 대부분 레지스트리에 자신을 추가하여 재부팅될 경우 자동 실행되도록 합니다.

레지스트리 조치방법은 악성코드 게시판 공지사항에 자세히 올려져 있으니 참고해 주세요.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

GTBot은 하나의 파일이 아니고 해당 분류를 총칭하는 이름이므로 파일명, 길이 등은 모두 다르며, 매우 많은 변형들이 존재합니다.

근래에 신고가 증가하고 있는 Agobot 과 SdBot, SpyBot, IRC BOT 변형들도 모두 GTBot에 포함됩니다.

Ago 와 Sd 는 제작자의 닉네임등으로 알려져 있으며, 소스코드가 공개되어 있기 때문에 계속해서 변형이 제작/유포되고 있습니다.

최근 유행중인 BOT 관련 변형 악성코드들은 관리목적 공유폴더의 사용자 암호관리 취약점과 RPC 보안 취약점등을 이용한 감염 사례들이 매우 많으며, 감염시에는 치료에도 대단히 어려움을 겪고 있습니다.

이미 감염된 경우 부분적으로 아래와 같은 부작용이 발생됩니다.

1. CPU 사용률이 100% 로 올라가 다른 수동조치가 어렵습니다.

2. 감염된 후에 인터넷에서 보안패치등의 파일을 받기 위해 URL 주소등의 링크를 클릭할 경우 열리지 않거나 파일이 받아지지 않습니다.

3. 레지스트리나 시스템 구성유틸리티 창들을 열면 몇 초 후에 창이 자동으로 닫혀버려 수동조치가 어려워 집니다.

4. 백신으로 진단되지 않는 변형들이 많고, 중복적으로 감염되는 사례가 많습니다.

5. 시스템 속도가 급속하게 저하되거나 화면이 멈추는등의 부작용이 발생합니다.

6. 강제종료 후 삭제를 시도할 경우, 강제종료를 해도 바로 재실행되는 경우가 있습니다.

윈도우 2000 이나 XP 에서는 기본 값으로 설정된 관리목적으로 공유된 폴더가 존재합니다.

Windows NT 계열(NT/2000/XP/2003)의 RPC DCOM 취약성을 이용한 웜은 치료와는 별도로 RPC 버퍼 오버플로우에 관한 보안패치를 적용해야만 다른 변종으로 부터의 추가적인 피해를 근본적으로 막을 수 있습니다.

아래와 같은 시스템 재부팅 카운트 메시지가 출력되면 RPC 보안 취약점을 이용한 웜에 감염된 경우로 볼 수 있습니다.

//www.microsoft.com/korea/security/images/show.gif

위와 같은 창이 나오면 반복적으로 계속 카운트 창과 함께 재부팅이 됩니다.

★★ 응급 조치방법으로

[시작버튼]-[실행] 에서 shutdown -a 를 입력 후 확인을 클릭하면 재부팅 증상을 일시적으로 방지할 수 있습니다.

기본적으로 윈도우 2000 / XP 는 관리목적으로 각 드라이브가 공유되어있으며 다음과 같이 확인해볼 수 있습니다.

1) 시작 → 설정 → 제어판 → 관리도구 → 컴퓨터 관리 → 공유폴더 → 공유

윈도우 2000 또는 XP는 부팅 시 기존의 윈도우 98 계열의 OS와 달리 로그인 계정에 대한 확인 작업을 거치게 됩니다.

그러나 많은 사용자들이 (개인, 기업 사용자들) 윈도우의 초기설정값인 Administrator 를 사용하고 암호는 암호가 없는 Null 값으로 많이 사용하고 있습니다.

이 관리목적의 공유 폴더들은 [드라이브 문자]$ 식으로 표현되며 일반적으로 C:, D: 드라이브 명을 말합니다.

해당 드라이브의 공유항목을 살펴보면 관리목적으로 공유가 되어 있음을 확인해 볼 수가 있습니다.

또한 $를 붙여 숨겨진 공유항목으로 설정되어 있습니다.

즉 공유되었다는 표시는 되지 않습니다.

이러한 폴더들은 관리자가 외부에서 네트워크로 액세스가 가능하도록 되어 있습니다.

물론 액세스 시에는 사용자명과 암호가 필요합니다.

그런데 위와 같이 사용자명을 Administrator로, 암호를 없음의 기본 값으로 설정했거나 유추하기 쉬운 암호 및 사용자명을 사용하고 있다면 배치파일을 이용하여 암호 및 사용자명을 순차적으로 대입하는 사전공격방법(Dictionary Attack)으로 외부 네트워크에서 시스템에 관리자 권한으로 접근이 가능합니다.

따라서 윈도우 2000 이나 XP 사용자는 윈도우 로그인 암호를 복잡하게 설정하여 사용해 주는것이 좋습니다.

※ 윈도우 암호 재설정 방법

1) Ctrl+Alt+Del 키를 동시에 눌러 보여지는 창의 메뉴중 [암호변경]을 선택한다.

2) 안내되는 메시지에 따라 암호를 변경한다.

새로운 암호를 적용시 유추하기 쉬운(예를들어 1234, Admin, root 등) 암호는 절대 사용하지 않으며 자신만의 고유한 암호(예를들어 한글을 영타로 입력하는등)를 입력하도록 한다.

대부분 아래의 3가지 보안 취약성을 이용하여 전파되므로 보안패치를 반드시 해주시기 바랍니다.

마이크로 소프트사에서 발표되어 있는 각 운영체제별 서비스팩을 먼저 설치후에 보안패치를 해주시면 좋겠고요.

아래에서 패치파일을 받으시면 됩니다.

한글 윈도우XP 사용자분들은 32비트용을 받아서 설치하시면 됩니다.

윈도우2000 이나 XP 사용자분들은 반드시 서비스팩과 아래 필수 패치파일을 미리 CD등에 레코딩해서 준비해 두시면 좋겠습니다.

한글윈도우XP 서비스팩

//myfolder.cachenet.com/software/008/xpsp1_ko_x86.exe

MS03-001 RPC Locator 취약성

//www.microsoft.com/korea/technet/security/bulletin/MS03-001.asp

MS03-007 WebDAV 취약성

//www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp

MS03-026 RPC DCOM 취약성

//www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp

관리목적으로 IPC 공유된 폴더를 이용하여 전파됩니다.

대부분 Administartor등의 관리자 계정의 암호가 설정되어 있지않거나 “1234”등의 쉬운 암호로 설정된 경우에 해당 취약점을 이용 접속후 트로이목마 프로그램이나 드롭퍼(설치) 파일이 생성됩니다.

사용하시는 시스템이 윈도우 2000 계열이라면 Administrator 의 암호를 유추하기 어려운 것으로 변경하시기 바랍니다.

Windows 2000 계열 사용자 계정 관리하기

a. [시작]-[설정]-[제어판]-[사용자 및 암호] 를 클릭 합니다.
b. [사용자 이름과 암호를 입력해야 이 컴퓨터를 사용할 수 있음] 을 체크 합니다.
c. 사용하시는 계정을 선택 후 [암호설정] 을 클릭하여 암호를 설정 합니다.
d. 사용하지 않는 불필요한 계정은 [제거] 합니다.

Windows XP 계열 사용자 계정 관리하기

a. [시작]-[제어판]-[사용자 계정] 을 클릭 합니다.
b. 사용하시는 계정을 선택 후 [내 암호 변경]을 클릭하여 암호를 설정 합니다.
c. 사용하지 않는 불필요한 계정은 선택 후 [계정 삭제]를 합니다.

2. 사용하시는 시스템에 맞는 보안 패치와 서비스팩을 설치하시기 바랍니다.

사전에 서비스팩과 보안패치프로그램을 준비해 주시고, 오프라인상태에서 설치해 주는것을 권장합니다.

a. 인터넷이 연결되어 있는지 확인합니다.
b. 인터넷 익스폴로어를 실행하고 상단에 있는 [도구]를 클릭합니다.
c. 메뉴항목 중 [Windows Update]를 클릭합니다.
d. [업데이트 검색]을 클릭하신 후 [중요 업데이트 및 서비스팩]에 나오는 항목들을 모두 설치하시기 바랍니다.

Bot 류는 공통적으로 다음과 같은 기능이 있습니다.

- 트로이 목마 설치 및 제거
- IRC 관련 기본 명령 수행
- 채널상에 다른 사용자들에게 트로이 목마 전파
- 시스템 및 네트워크 관련 정보 확인
- 임의의 주소와 포트로 UDP 패킷을 이용한 DoS 공격가능
- 특정게임의 시디키등의 정보를 유출

출처 : avzone(//cafe.daum.net/avzone)