글 수 2,548
우리나라
http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp
Blaster급의 트래픽이 발생할 가능성도」, 시만텍이 주의를 호소하는 Sasser 웜 | ||||||||
주식회사 시만텍은 5월 6일, 4월 30일(미국 시간)에 발견된 웜 「W32.Sasser.Worm」(이하, Sasser)과 그 아종에 관한 긴급 대책 세미나를 해, Symantec Security Response의 Development Manager, 호시택유지씨가 현상을 설명했다. ■ Sasser는, LSASS의 취약성을 이용한 웜
아종은 3 종류가 확인되어 있다. 5월 1일(미국 시간)에 발견된 최초의 아종 「Sasser.B」에서는, 웜의 파일명을 avserve2.exe에 변경하는 등 몇 점의 차이가 있지만, 감염 논리 자체는 오리지날과 다르지 않다. 그러나, 5월 2일(동)에 발견된 「Sasser.C」에서는 감염 활동을 위해서(때문에) 실행하는 thread가 동시 128에서 1,024로 확대되어 보다 PC에 대한 부하가 커지고 있다. 또 5월 3일(동)에 발견된 「Sasser.D」는, 감염에 이용하는 TCP 포토의 하나가 전술과 같이 9995로 변경되어 있는 것 외에 보안 홀을 가지는 PC를 발견하기 위해서 ICM(이미지 칼라 매칭 ) P의 메아리 요구(Ping)를 내는 점이 다르다. ■ 감염 보고는 소비자 중심이지만 기업 유저도 경계가 필요
또 현재 상태로서는 감염 보고는 거의 소비자의 유저로부터라고 하지만, 호시 사와씨는 이 이유로서 「 보고의 형식이 다른 기업계의 유저로부터의 분은 아직 집계수에 들어가 있지 않은 것」, 「로컬 주소가 감염의 대상으로부터 빠지고 있는 것」을 들었다. 확실히, 현상 발견되어 있는 4종에서는, 「127.0. 0.1(루프백)」(와)과「169.254. x.x(링크 로컬 주소)」, 「10. x.x.x(클래스 A)」, 「172.16.x.x-172.31. x.x(클래스 B)」, 「192.168. x.x(클래스 C)」의 각 로컬 주소는 포함되고 있지 않고, 그 때문에(위해) 사내에서 로컬 IP를 이용하고 있는 기업의 감염을 막는 것이 되어 있는 것은 가능성은 있다. 그러나, 「(로컬 주소를 감염 대상으로 포함하는 것 같은) 논리의 변경은 간단하게 할 수 있기 (위해)때문에, 새로운 아종의 등장도 상정된다」(동씨)과의 (일)것으로, 근본적인 대응이 필요해요는 기업에서도 같다. ■ Blaster와 비교해도 열등하지 않는다 과거의 바이러스와의 비교에 관해서는, 발생 후의 날짜 경과에 따른 감염 보고의 그래프를 제시. 그것에 따르면, 월드 와이드에서는 발견일이야말로 Netsky나 Blaster보다 적기는 하지만, Sasser.B는 2 일째 이후 그것들을 견딜 기세로 추이하고 있다. 또 TCP 포토 445로부터의 공격 상황에 관해서도 언급한 동씨는 「모두 Sasser와 그 아종이 원인고는 할 수 없지만, 50만 이상이 다른 IP주소로부터 어택을 하고 있다」상황을 나타냈다. 「감염 활동의 상황을 엄밀하게 비교 하고 있지는 않은(의로 단언은 할 수 없다)가, Ping를 던지는 Sasser.D나 thread가 많은 Sasser.C 등도 등장 하고 있어, 경우에 따라서는 트래픽이 오를 것이다」라고 말해 Blaster급의 네트워크 트래픽이 발생할 가능성도 부정은 할 수 없다고 하고 있다.호시 사와씨는 게다가 Sasser.B를 구제하는 툴을 가장하는 「Netsky.AC」에도 접했다. 이것은, Symantec나 Sophos, MCAfee라고 하는 바이러스 대책 vender로부터의 메일 로 가장해 첨부 파일로서 부속되어 있는 웜을 실행 시키려고 하는 것. 「당사를 시작으로 해, 바이러스 대책 vender가 대책 툴 자체를 메일로 송신하는 것은, 보통 없다」(동씨)과의 (일)것으로, 이러한 메일을 보일 경우에는 주의가 필요하다.
■ URL 주식회사 시만텍 http://www.symantec.co.jp/ W32.Sasser.Worm http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html ■ 관련 기사 · Sasser 웜의 감염 확대를 마이크로소프트 등이 경고(2004/05/06) (이시이 이치시 ) |
최근 댓글
유동 채팅