¿¡ºê¸®Á¸¼Ò°³ | Á¦Ç°¼Ò°³ | °í°´¼¾ÅÍ | »çÀÌÆ®¸Ê | Home
°³ÀÎ°í°´ ¿©¼º°í°´ eº¸¾È¸¶ÄÏ À̺¥Æ®
°³ÀÎ°í°´±â¾÷°í°´
º¸¾ÈÁ¢¼Ó IDÀúÀå
AD ¹«·á·Î Ã¥¹Þ¾Æ°¡¼¼¿ä!


 ¸ñ·Ï |  À­±Û |  ¾Æ·§±Û  
W32/Nimda.57344.B@mm
 ¹ÙÀÌ·¯½º Á¾·ù
Worm
 ½ÇÇàȯ°æ
Win9x, Win2000
 ¹ß°ßÀÏ
2002³â11¿ù14ÀÏ
 Á¦ÀÛÁö
 À§Çèµî±Þ
 È®»ê¹æ¹ý
 ¹ÙÀÌ·¯½º Å©±â
57344
 Ã·ºÎÆÄÀÏ
sample.exe
 ¸ÞÀÏÁ¦¸ñ
  ÀÇ¹Ì ¾ø´Â ¹®ÀÚÀÇ ±ä Á¶ÇÕ
 Áõ»ó¿ä¾à
  
 Ä¡·á¹æ¹ý

- Åͺ¸¹é½Å ¶Ç´Â Åͺ¸¹é½Å OnlineÀ¸·Î Ä¡·á °¡´ÉÇÏ´Ù.(Åͺ¸¹é½ÅÀ¸·Î Ä¡·á ÇÑ °æ¿ì¶ó¸é ¾Æ·¡ * ³»¿ëÀº ÇÏ½Ç ÇÊ¿ä ¾øÁö¸¸ Çѹø Á¡°ËÇØ º¸½Ã±â ¹Ù¶õ´Ù.)

* À©9x °è¿­¿¡ °¨¿°µÈ °æ¿ì¿¡´Â À©µµ¿ìÁî Æú´õ¿¡ ÀÖ´Â system.ini ÆÄÀÏ¿¡¼­ shell=explorer.exe load.exe -dontrunold ºÎºÐÀ» shell=explorer.exe ·Î ¹Ù²Û´Ù.

- IIS »ç¿ëÀÚÀÇ °æ¿ì ¹Ýµå½Ã IIS ¸¦ Á¾·á ÇϽðí, ÆÐÄ¡ÇϽŠÈÄ¿¡ Ä¡·áÇϽà ±â ¹Ù¶õ´Ù.

- riched20.dll ÀÌ ¿ú¿¡ ÀÇÇؼ­ °ãÃÄ ½áÁø °æ¿ì¶ó¸é Ä¡·áÈÄ¿¡ riched20.dll ÆÄÀÏÀ» À©µµ¿ìÁî ½Ã½ºÅÛ Æú´õ(À©9x: \Windows\System, WinNT/2000: \WinNT\System32) ¿¡ º¹»çÇØ Áֽñ⠹ٶõ´Ù. (riched20.dll ÆÄ ÀÏÀÌ °ãÃĽáÁø °æ¿ì °æ¿ì ¿ÀÇǽº ÇÁ·Î±×·¥ µîÀÇ ½ÇÇà½Ã¿¡ ¿À·ù°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù.)

ÆÐÄ¡¹æ¹ý :

- ÀÎÅÍ³Ý ÀͽºÇ÷ξî´Â ºÎÁ¤È®ÇÑ MIME Çì´õ´Â ÷ºÎÆÄÀÏÀ» ¿­±â¸¸ Çصµ ½ÇÇà Çϵµ·Ï ÇÏ´Â ¹®Á¦°¡ Àִµ¥, ¾Æ·¡ ÁÖ¼Ò¿¡¼­ ÆÐÄ¡¸¦ ¹Þ¾Æ Àû¿ë½ÃÅ°¸é À̸¦ ¸·À» ¼ö ÀÖ´Ù.

http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-020.asp

- À©µµ¿ìÁî ¼­¹ö»ó¿¡¼­ IIS ¸¦ ½ÇÇàÇÏ´Â »ç¿ëÀÚ¶ó¸é ¹Ýµå½Ã ¾Æ·¡ ÁÖ¼Ò¿¡¼­ Web Server Folder Traversal º¸¾È ÆÐÄ¡¸¦ ¹Þ¾Æ¼­ Àû¿ëÇϱ⠹ٶõ ´Ù.

http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-044.asp

  
 
»ó¼¼¼³¸í
10¿ù 29ÀÏ¿¡ ±¹³»¿¡ óÀ½À¸·Î ½Å°íµÇ¾úÀ¸¸ç, ¿Ü±¹¿¡¼­ ¾ÆÁ÷ ¹ß°ß »ç·Ê°¡
º¸°íµÇÁö ¾ÊÀº Á¡À¸·Î ¹Ì·ç¾î ±¹³»¿¡¼­ º¯ÇüµÈ ¹ÙÀÌ·¯½º·Î ÃßÁ¤µÇÁö¸¸ ¾ÆÁ÷
±îÁö´Â È®½ÇÄ¡ ¾Ê´Ù.

Áö±Ý±îÁöÀÇ ÇÇÇØ½Å°í »óȲÀ¸·Î ¹Ì·ç¾î Áö³­¹ø "´Ô´Ù" (W32/Nimda@mm)
¹ÙÀÌ·¯½º¿Í ºñ½ÁÇÑ ¼Óµµ·Î È®»êµÇ°í ÀÖ´Â °ÍÀ¸·Î º¸ÀδÙ.

"´Ô´Ù" ¿Í °°ÀÌ ÀÚüÀûÀ¸·Î ¸ÞÀÏÀ» ¹ß¼ÛÇÏ´Â ±â´É¿Ü¿¡ e-¸ÞÀÏÀ» ¿­±â¸¸
Çصµ °¨¿°µÇ¸ç, W32/FunLove ¿Í °°ÀÌ °øÀ¯Æú´õ¸¦ ÅëÇؼ­ °¨¿°½Ãų ¼ö ÀÖ°í
Worm/CodeBlue °¡ »ç¿ëÇß´ø IIS Web Directory Traversal exploit À» ÀÌ¿ë
Çϱâ
¶§¹®¿¡ PC´Â ¹°·Ð ¼­¹ö¿¡µµ °¨¿°ÀÌ µÇ¾î ±Þ¼ÓÈ÷ È®»êµÇ°í ÀÖ´Â °ÍÀ¸·Î º¸ÀÎ
´Ù.

e-¸ÞÀÏÀ» ¿­±â¸¸ Çصµ °¨¿°ÀÌ µÇ¹Ç·Î È®»ê¼Óµµ°¡ ¸Å¿ì ºü¸£¸ç, ¹«ÀǹÌÇÑ
¹®ÀÚÀÇ ±ä Á¶ÇÕÀ¸·Î ±¸¼ºµÈ Á¦¸ñÀÇ ¸ÞÀÏÀ» ¹Þ¾Ò´Ù¸é ¿­Áö ¾Êµµ·Ï ÁÖÀǸ¦
¿äÇÑ´Ù.

"sample.exe" ·Î ÷ºÎµÈ ÆÄÀÏÀº ¹ÙÀÌ·¯½º ÀÚüÀ̹ǷΠ»èÁ¦°¡ °ð Ä¡·áÀ̸ç,
ÀϺΠ½ÇÇàÆÄÀÏÀº °¨¿°µÇ±âµµ Çϸç Ä¡·á ¶ÇÇÑ °¡´ÉÇÏ´Ù.

ÁÖ¿ä Áõ»óÀ¸·Î´Â ´Ù¸¥ PCÀÇ °øÀ¯ Æú´õ¿¡ ÀÖ´Â ÆÄÀϵéÀ» °¨¿°½ÃÅ°´Âµ¥,
.exe ÆÄÀϵéÀº °¨¿°µÇ°í .eml °ú .nws ÆÄÀϵéÀº ¹ÙÀÌ·¯½º¿¡ ÀÇÇؼ­ ±³Ã¼µÈ
´Ù.

¿úÀº .htm .html ¿¡¼­ e-¸ÞÀÏ ÁÖ¼Ò¸¦ °Ë»öÇÏ¿© sample.exe ÆÄÀÏÀ» ÷ºÎÇÑ
°¨¿°µÈ ¸ÞÀÏÀ» ¹ß¼ÛÇϹǷΠ½Ã½ºÅÛÀ» ¼º´ÉÀ» ÀúÇϽÃÅ°¸ç, ÀÌ·Î ÀÎÇØ ½Ã½ºÅÛ
ÀÌ
´Ù¿îµÇ±âµµ ÇÑ´Ù.

ÀÌ¿Ü¿¡ .htm, .html, .asp ÆÄÀÏ µÞ ºÎºÐ¿¡ ¿úÀ» ½ÇÇàÇÏ´Â Äڵ带 »ðÀÔÇϱâ
µµ
ÇÑ´Ù.

ÁÖ¿ä Áõ»óÀº ¿øÇüÀÎ W32/Nimda@mm ¿Í ºñ½ÁÇϸç, ´ÜÁö ¹®ÀÚ¿­°ú »ý¼ºµÇ´Â
ÆÄÀϸíÀ» º¯ÇüÇÑ Á¤µµÀÌ´Ù.

³»ºÎ¿¡´Â ¾Æ·¡¿Í °°Àº ¹®ÀÚ¿­ÀÌ Á¸ÀçÇÑ´Ù.

"Concept Virus(CV) V.6, Copyright(C)2001, (This''''s CV, No Nimda.)"


 
¿¹¹æ ¹× ¼öµ¿Á¶Ä¡¹æ¹ý
¹«´ÜÀüÀç¤ý¹èÆ÷±ÝÁö
¿¡ºê¸®Á¸¿¡¼­ Á¦°øÇÏ´Â ¸ðµç ÄÁÅÙÃ÷ Á¤º¸¿¡ ´ëÇÑ ÀúÀÛ±ÇÀº ¿¡ºê¸®Á¸ÀÇ ¼ÒÀ¯ÀÌ¸ç °ü·Ã¹ýÀÇ º¸È£¸¦ ¹Þ½À´Ï´Ù.
¿¡ºê¸®Á¸ÀÇ »çÀü Çã°¡ ¾øÀÌ ¿¡ºê¸®Á¸ ÄÁÅÙÃ÷¸¦ ¹«´ÜÀ¸·Î ÀüÀç, ¹èÆ÷¸¦ ±ÝÁöµÇ¾î ÀÖ½À´Ï´Ù.
À̸¦ À§¹ÝÇÏ´Â °æ¿ì ¼ÕÇعè»óÀÇ ´ë»ó ¶Ç´Â ¹Î.Çü»ç»óÀÇ ¹ýÀû ¼Ò¼Û ´ë»óÀÌ µÉ ¼ö ÀÖ½À´Ï´Ù.
                                                                 * ¿¡ºê¸®Á¸ Á¤º¸ ÀÌ¿ë ¹®ÀÇ : greenking@everyzone.com
 ¸ñ·Ï