- VAIO U Community - 유동만세 ^^;
  • 즐겨찾기추가
  • 한국어
  • Language
    •  

    코쿤스타일 Ubiquitous

    글 수 2,548

    긴급패치-Sasser 웜

    조회 수 937 추천 수 0 2004.05.08 19:28:48
    cocoonstyle+권혁찬 *.199.226.114


















    우리나라


     


    http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp


     


     


     


    Blaster급의 트래픽이 발생할 가능성도」, 시만텍이 주의를 호소하는 Sasser 웜



     주식회사 시만텍은 5월 6일, 4월 30일(미국 시간)에 발견된 웜 「W32.Sasser.Worm」(이하, Sasser)과 그 아종에 관한 긴급 대책 세미나를 해, Symantec Security Response의 Development Manager, 호시택유지씨가 현상을 설명했다.



    Sasser는, LSASS의 취약성을 이용한 웜








    Sasser 감염까지의 흐름. 2 스텝눈으로 이용하고 있는 「houseofdabus」공격 코드는, 인터넷상에서 공개되어 있던 것을 이용하고 있다
     Sasser와 그 아종(현상은 오리지날을 포함해라 4 종류)은, Windows의 보안 수정 프로그램 「MS04-011」으로 수정되는 LSASS의 취약성을 악용 하는 것으로, Windows XP/2000이 감염 대상. 감염까지는 TCP 포토 445, 동9996(Sasser.D만 9995), 동5554의 3개(살)을 이용해, 자신을 avserve.exe로서 카피한다. 감염 활동을 하는 IP주소는 완전하게 랜덤에 생성되는 것 외에 하위의 2∼3 8중창만을 랜덤인 숫자에 변경한 주소에 대해서도 감염을 시도한다. 또 특징의 하나로서 LSASS.exe 프로세스를 크래쉬 시키기 위해서(때문에) Windows가 슛다운 하는 것이 있지만, 이것은 반드시 일어나는 것은 아니라고 한다.

     아종은 3 종류가 확인되어 있다. 5월 1일(미국 시간)에 발견된 최초의 아종 「Sasser.B」에서는, 웜의 파일명을 avserve2.exe에 변경하는 등 몇 점의 차이가 있지만, 감염 논리 자체는 오리지날과 다르지 않다. 그러나, 5월 2일(동)에 발견된 「Sasser.C」에서는 감염 활동을 위해서(때문에) 실행하는 thread가 동시 128에서 1,024로 확대되어 보다 PC에 대한 부하가 커지고 있다. 또 5월 3일(동)에 발견된 「Sasser.D」는, 감염에 이용하는 TCP 포토의 하나가 전술과 같이 9995로 변경되어 있는 것 외에 보안 홀을 가지는 PC를 발견하기 위해서 ICM(이미지 칼라 매칭 ) P의 메아리 요구(Ping)를 내는 점이 다르다.



    감염 보고는 소비자 중심이지만 기업 유저도 경계가 필요








    Symantec Security Response의 Development Manager, 호시택유지씨
     감염수는, Symantec Security Response가 파악하고 있는 범위에서는 Sasser 오리지날로부터 순서에 459건/2건(월드 와이드/일본, 이하 같다), 11,912건/111건, 167건/5건, 80건/0건이 되고 있어, Sasser.B가 압도적으로 많다. 이 때문에 시만텍에서도 동아종만 위험도가 「4」(다른 3개(살)은 3 이하)에 설정되어 있다. 국내로부터의 보고가 적은 것은, Sasser의 등장이 연휴 중인 것에 가세해 「원래 국내에서는 피해의 비교적 보고가 적은 경향이 있다」(호시 사와씨)이라고 해, 보고가 적기 때문에라고 해도 피해가 적다고는 할 수 없다라고 말했다. 덧붙여 Sasser.B가 하는 감염 활동의 프로세스 자체는 오리지날과 다르지 않기 때문에, Sasser.B가 오리지날보다 유행하고 있는 것은, 「우연히는 아닌가」(호시 사와씨)과의 것.

     또 현재 상태로서는 감염 보고는 거의 소비자의 유저로부터라고 하지만, 호시 사와씨는 이 이유로서 「 보고의 형식이 다른 기업계의 유저로부터의 분은 아직 집계수에 들어가 있지 않은 것」, 「로컬 주소가 감염의 대상으로부터 빠지고 있는 것」을 들었다. 확실히, 현상 발견되어 있는 4종에서는, 「127.0. 0.1(루프백)」(와)과「169.254. x.x(링크 로컬 주소)」, 「10. x.x.x(클래스 A)」, 「172.16.x.x-172.31. x.x(클래스 B)」, 「192.168. x.x(클래스 C)」의 각 로컬 주소는 포함되고 있지 않고, 그 때문에(위해) 사내에서 로컬 IP를 이용하고 있는 기업의 감염을 막는 것이 되어 있는 것은 가능성은 있다. 그러나, 「(로컬 주소를 감염 대상으로 포함하는 것 같은) 논리의 변경은 간단하게 할 수 있기 (위해)때문에, 새로운 아종의 등장도 상정된다」(동씨)과의 (일)것으로, 근본적인 대응이 필요해요는 기업에서도 같다.



    Blaster와 비교해도 열등하지 않는다

     과거의 바이러스와의 비교에 관해서는, 발생 후의 날짜 경과에 따른 감염 보고의 그래프를 제시. 그것에 따르면, 월드 와이드에서는 발견일이야말로 Netsky나 Blaster보다 적기는 하지만, Sasser.B는 2 일째 이후 그것들을 견딜 기세로 추이하고 있다. 또 TCP 포토 445로부터의 공격 상황에 관해서도 언급한 동씨는 「모두 Sasser와 그 아종이 원인고는 할 수 없지만, 50만 이상이 다른 IP주소로부터 어택을 하고 있다」상황을 나타냈다. 「감염 활동의 상황을 엄밀하게 비교 하고 있지는 않은(의로 단언은 할 수 없다)가, Ping를 던지는 Sasser.D나 thread가 많은 Sasser.C 등도 등장 하고 있어, 경우에 따라서는 트래픽이 오를 것이다」라고 말해 Blaster급의 네트워크 트래픽이 발생할 가능성도 부정은 할 수 없다고 하고 있다.

     호시 사와씨는 게다가 Sasser.B를 구제하는 툴을 가장하는 「Netsky.AC」에도 접했다. 이것은, Symantec나 Sophos, MCAfee라고 하는 바이러스 대책 vender로부터의 메일 로 가장해 첨부 파일로서 부속되어 있는 웜을 실행 시키려고 하는 것. 「당사를 시작으로 해, 바이러스 대책 vender가 대책 툴 자체를 메일로 송신하는 것은, 보통 없다」(동씨)과의 (일)것으로, 이러한 메일을 보일 경우에는 주의가 필요하다.










    Sasser의 감염 상황 추이를 시계열로 나타낸 그래프(월드 와이드판). 세로축이 보고수, 횡축이 발견으로부터의 경과 날짜가 되고 있다 좌도의 일본내판. 량도와도, Blaster 등이 비교 대상으로서 나타나고 있다


    URL
      주식회사 시만텍
    http://www.symantec.co.jp/
      W32.Sasser.Worm
    http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html

    관련 기사
      · Sasser 웜의 감염 확대를 마이크로소프트 등이 경고(2004/05/06)




    (이시이 이치시 )
    2004/05/06 19:58

    이 게시물을
    엮인글 :
    http://www.vaiou.com/cocoon/193854/453/trackback
    목록
    List of Articles
    번호 제목 글쓴이 날짜 조회 수
    168 PSP CTO의 인터뷰(Playstation Portable) cocoonstyle+권혁찬 2004-05-17 928
    167 [간단실제리뷰]VAIO type U"VGN-U70P"[번역] [9] cocoonstyle+권혁찬 2004-05-14 3035
    166 [번역]소니 PSP[적자 스타트]예측 [1] cocoonstyle+권혁찬 2004-05-14 1164
    165 [번역]VAIO 제 2장이 의도하는 것 cocoonstyle+권혁찬 2004-05-14 962
    164 [번역]소니DSC-T11판매를 정지 cocoonstyle+권혁찬 2004-05-14 828
    163 사진으로 보는VAIO type U [1] cocoonstyle+권혁찬 2004-05-13 2643
    162 E3 2004리포트-PSP처음공개 [2] cocoonstyle+권혁찬 2004-05-13 1364
    161 클리에 TH55 생각보다 ..... cocoonstyle+권혁찬 2004-05-13 830
    160 SONY CLIE PEG-NX80V CLIE PEG-TH55 USA [re-view] Coming Soon... cocoonstyle+권혁찬 2004-05-13 619
    159 지문인증-TV수신 VAIO U cocoonstyle+권혁찬 2004-05-11 1217
    158 [번역]VAIO 풀 모델체인지 cocoonstyle+권혁찬 2004-05-10 2051
    157 [번역]VAIO type U [17] cocoonstyle+권혁찬 2004-05-10 2613
    156 [♬]U3와 PDA inside Edition#1.디지털환경이란... [4] cocoonstyle+권혁찬 2004-05-09 1079
    » 긴급패치-Sasser 웜 cocoonstyle+권혁찬 2004-05-08 937
    154 [번역]WinHEC편-Tablet PC 2005는 SP2와 동시에 출하 cocoonstyle+권혁찬 2004-05-08 911
    153 [번역]WinHEC편-Crusoe 탑재로 450 g의 마이크로 PC 「FlipStart」 [2] cocoonstyle+권혁찬 2004-05-08 860
    152 [♩]바보가 되는것은 천재보다 더 힘듭니다. [2] cocoonstyle+권혁찬 2004-05-08 1042
    151 동훈님.승현님.태훈님.그리고... [4] cocoonstyle+권혁찬 2004-05-06 934
    150 [♬]왜 노트북을 사야하지? [7] cocoonstyle+권혁찬 2004-05-04 2539
    149 [국내CF-현재 방영중]-PEPSI "DARE FOR MORE"편.Making Film cocoonstyle+권혁찬 2004-05-02 689
    목록
    쓰기
    검색
    prev 2024. 05 next
    1 2 3 4
    5 6 7 8 9 10 11
    12 13 14 15 16 17 18
    19 20 21 22 23 24 25
    26 27 28 29 30 31
    유동 채팅