(주)에브리존 :: 바이러스 · 악성코드 없는 세상

에브리존소개 | 제품소개 | 고객센터 | 사이트맵 |

Home

보안접속	ID저장

회원가입 | ID&비번찾기

AD 무료로 책받아가세요!

목록 |

윗글 |

아랫글

Worm-W32/Blaster

바이러스 종류

Worm

실행환경

NT 계열 (nt, 2000, xp, 2003)

발견일

2003년08월12일

제작지

불분명

위험등급

확산방법

바이러스 크기

6,176 Bytes

첨부파일

메일제목

증상요약

치료방법

터보백신으로 진단 치료 가능합니다.
근본적인 해결을 위해 다음의 윈도우즈 보안 패치를 수행하여야 합니다.

Windows NT 4.0 Server

http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=ko

Windows NT 4.0 Terminal Server

http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

Windows 2000

http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=ko

Windows XP

http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ko

Windows Server 2003

http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=ko

상세설명

NT 계열의 DCOM RPC 보안의 취약점을 이용하여 감염 전파되는 웜 바이러스이다. 바이러스가 실행되면 일반적으로 윈도우즈의 시스템 폴더(c:\winnt\system32)에 msblast.exe 파일을 생성하고 레지스트리를 다음값으로 첨부한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 항목에 Windows auto update = msblast.exe

윈도우즈 자체가 계속 재부팅 되기도 하며, 특정 포트(135번)의 트래픽이 과중된다. 또한 시스템의 복사, 익스플로러의 새창 띄우기와 즐겨찾기와 같은 바로가기 형식의 링크가 실행되지 않는다. 이 정보는 분석이 더 이루어지는 데로 업데이트될 예정이다.

예방 및 수동조치방법

[방법1]

1.[시작] - [실행] 에서 Regedit 실행 후, 다음의 값을 찾아 삭제한다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
항목에 Windows auto update 의 값 msblast.exe 이 있다면 삭제한다.

2. ctrl-alt-del 키를 이용하여 작업관리자를 실행시킨다.
msblast.exe 프로세스를 찾아 [프로세스 끝내기]를 클릭 하여,
프로세스를 종료 한다.

3. 다음의 링크에서 윈도우즈 보안패치를 설치한다.

Windows NT 4.0 Server

http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=ko

Windows NT 4.0 Terminal Server

http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

Windows 2000

http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=ko

Windows XP

http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ko

Windows Server 2003

http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=ko

4. 만약 패치를 받는 동안 윈도우 재부팅 카운드가 나오면 다음과 같이
중지시키도록 한다.

[시작]->[실행] -> Shutdown -a 입력후 [enter]

[방법 2]

1. http://www.everyzone.com 에서 Worm-W32/Blaster 보안 패치를 받는다.

2. 컴퓨터를 켜서 재부팅한다.

3. F8키를 눌러서 안전모드로 부팅한다.

4. 시작->실행->cmd 를 실행한다.

5. del c:\윈도우즈 시스템 폴더\msblast.exe

ex1) del c:\windows\system32\msblast.exe

ex2) del c:\winnt\system32\msblast.exe

6. 1 에서 받아놓은 보안 패치를 실행한다.

7. 재부팅하여 컴퓨터를 사용한다.

* 4-5 과정은 윈도우즈 탐색기를 이용하여 직접 파일을 삭제해도 된다.

* 참고로 로그인 암호가 설정되어 있지 않다면 반드시 설정을 해야만
다른 바이러스의 감염을 막을수가 있다.