(주)에브리존 :: 바이러스 · 악성코드 없는 세상

에브리존소개 | 제품소개 | 고객센터 | 사이트맵 |

Home

보안접속	ID저장

회원가입 | ID&비번찾기

AD 무료로 책받아가세요!

목록 |

윗글 |

아랫글

Worm/CodeRed

바이러스 종류

Worm

실행환경

Win NT, Win 2000

발견일

제작지

중국(추정)

위험등급

확산방법

바이러스 크기

첨부파일

메일제목

없음

증상요약

치료방법

상세설명

MS Index Server and Indexing Service ISAPI Extension Buffer Overflow
Vulnerability

마이크로 소프트의 윈도우즈 NT 4.0 옵션팩과 윈도우즈 2000 계열에 포함되
어 있는
인덱스 서버와 인덱싱 서비스는 공격자가 BOF(Buffer OverFlow) 를 발생시
켜 공격할 수
있는 버그가 있다. 실제로 이러한 버그를 이용한 공격은 기존에도 많이 있
었으며
근래 미국과 중국간의 사이버전에서 중국이 미국 공격을 위해서 제작한 웜
으로 다른
서버들이 경유지로 사용될 수 있는데, 이 과정에서 국내는 물론 전 세계 많
은 웹 서버들이
공격받고 있으며, IIS 를 설치하지 않는 Win 95, 98, ME, Workstation 은
감염대상이
아니다.

매월 1일에서 19일 사이에는 임의의 IP 주소의 80번(HTTP) 포트로 메모리
에 있던 자기자신을
송신하여 감염을 시키려 시도한다.
매월 20일에서 28일 사이에는 www1.whitehouse.gov 사이트를 를 공격하여
서버의 운영을
방해하는데, 만약 감염된 웹 서버가 1,000 대 라면 이 서버들이 동시에 공
격을 하게되는데,
현재 국내의 웹서버들도 많이 감염된 상황이며, 해당 기간이 되면 일제히
www1.whitehouse.gov
사이트를 공격할 것이다.

예방 및 수동조치방법

IIS 를 설치한 서버 관리자는 CodeRed 의 감염여부와 상관없이 아래의 주소
에서 패치를
받아 적용하여 미연의 피해를 방지하기 바란다.

http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/ms01-033.asp

이외에 갑자기 부하가 많이 걸려서 웹서버가 느려진 경우라면 CodeRed 를
의심해 볼수 있다.
CodeRed 는 감염시 메모리에만 상주하므로 재부팅하거나 inetinfo.exe 를
재실행하면 사라지게 된다.