MS 사이트에서 패치를 적용하지 않은 경우이고, C 드라이브나 D 드라이브
루트에서 explorer.exe
파일이 발견된 경우라면 아래와 같은 방법으로 치료하기 바란다.
1. 삭제할 파일들
\inetpub\scripts\root.exe
\Program Files\Common Files\system\msadc\root.exe
\explorer.exe (먼저 도스모드에서 attrib \explorer.exe -h -a -r 하여 속
성을 변경한다.)
2. 레지스트리 수정
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Current
Version\WinLogon\SFCDisable
키 값을 0 으로 변경 합니다.
이외에 갑자기 부하가 많이 걸려서 웹서버가 느려진 경우라면 CodeRed 를
의심해 볼수 있다.
CodeRed 는 감염시 메모리에만 상주하므로 재부팅하거나 inetinfo.exe 를
재실행하면 사라지게 된다.
상세설명
Worm/CodeRed_II 가 생성하는 트로이목마 프로그램으로 C 드라이브나 D 드
라이브 루트에explorer.exe 파일을 생성하는데 실행되면 윈도우 폴더의 정
상파일인 explorer.exe를 실행한다. 이후 레지스트리 변경을 통해서 원격지
에서 C 드라이브와 D 드라이브에 접근이 가능하게 된다.
이외에 자세한 설명은 Worm/CodeRed_II 정보를 참고하기 바란다.
매월 1일에서 19일 사이에는 임의의 IP 주소의 80번(HTTP) 포트로 메모리
에 있던 자기자신을 송신하여 감염을 시키려 시도한다.
매월 20일에서 28일 사이에는 www1.whitehouse.gov 사이트를 를 공격하여
서버의 운영을 방해하는데, 만약 감염된 웹 서버가 1,000 대 라면 이 서버
들이 동시에 공격을 하게되는데, 현재 국내의 웹서버들도 많이 감염된 상황
이며, 해당 기간이 되면 일제히 www1.whitehouse.gov사이트를 공격할 것이
다.
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
