윈도우즈 RPC 취약점 등 윈도우즈 시스템의 취약점을 이용하는 Worm.Win32.Agobot 웜
바이러스 변종이 인터넷을 통해 확산되고 있어 피해가 우려되오니 이에 대해 항상 주의를
기울이시기 바랍니다.
이 웜은 백도어 기능을 포함하고 있어 감염된 PC의 특정포트를 웜이 몰래 열어놓아 바이러스
제작자 등의 외부 침입이 가능하게 됩니다. 또한, 네트워크 트래픽을 증가시켜 사내 네트워크
가 느려지는 등의 업무장애가 발생할 수 있습니다.
계속해서 발견되는 Agobot 변형에 감염되지 않으려면, 이 웜이 사용하는 확산 경로를
근본적으로 차단하여야 합니다.
[ 웜의 확산 방법 ]
- IPC$(관리자) 패스워드 취약점(유추하기 쉬운 패스워드로 인한 감염)
- RPC DCOM 취약점(MS03-026)
- RPC Locator 취약점(MS03-001)
- IIS 사용자만 해당 WebDAV 취약점(MS03-007)
[감염 사전 예방 방법]
* KaZaA P2P프로그램을 사용하여, 'Crack.exe'이라는 파일명을 다운로드 받았다면, 반드시
파일 사이즈 비교하여 Agobot웜인지를 확인한다.
[감염 후 치료방법]
1. 바이로봇 2002년 10월 25일자 이상 엔진으로 진단/치료한다.
[감염 후 수동 치료 방법]
1.윈도우 시스템 폴더에 존재하는 "Sysmgr.exe"파일을 삭제 시킨다.(파일 크기 : 104,960
바이트 확인)
3.레지스트리 편집기를 이용하여 다음 경로의 존재하는 값을 삭제 시킨다.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run
이름 : Config Loader
*수동 치료시 발생할 수 있는 오류를 방지하기 위하여 바이로봇을 설치하여 치료할 것을
권장한다. |