에스지에이이피에스 홈페이지

고객센터

공지사항

[보안공지]MS08-067 취약점을 이용한 악성코드 발생 경고

작성일
2009.02.10

안녕하십니까? 바이러스체이서 입니다.

 

MS08-067 취약점을 이용한 악성코드들의 변종이 다수 발생하고 있습니다.

 

이 악성코드로 감염된 시스템은 동일 네트워크의 공유폴더를 통해 전파되며, 이 과정에서 445번 포트로 대량의 트래픽이 유발 될 수 있습니다.

 

Win32.HLLW.Shadow.based 은 다양한 형태의 변종이 존재하며, 현재 작성되는 정보는 2009년 1월 7일 발견된 샘플을 기초로 하여 작성되었습니다. 2009년 1월 7일 발견된 샘플은 165,025 bytes의 크기를 가지며, jgddm, sog, ziur등 다양한 이름으로 발견되고 있습니다.

 

* 대상: Microsoft Windows 2000
           Microsoft Windows XP
           Microsoft Windows Server2003
           Microsoft Windows Vista
           Microsoft Windows Server2008

 

* 바이러스진단명: Win32.HLLW.Shadow.based

 

* 증상

 

ㅇ Win32.HLLW.Shadow.based 는 아래의 세가지 유형으로 전파.
   - 윈도우 서버 서비스 원격 코드 실행 취약점 (MS08-067 보안 취약점)
   - 취약한 암호가 설정된 시스템의 관리목적 공유 폴더(Admin$)
   - 이동식 저장 디스크의 자동실행(Autorun.inf)

ㅇ Win32.HLLW.Shadow.based 에 감염된 시스템은 동일 네트워크의 공유폴더를 통해 전파되며,

    이 과정에서 445번 포트로 대량의 트래픽이 유발 될 수 있습니다.

 

 

* 치료방법: MS08-067 관련 보안패치를 하신 후에 전용백신으로 치료해 주십시요.

[전용백신 다운로드]

 

[전용백신 사용방법]

  1. 전용백신을 다운로드 한다.

  2. Vscan.exe를 실행한다.

  3. 종료시의 메시지 박스를 확인하여 아래와 같이 처리 해준다.

     3-1 검사 종료시 메시지가 

           "재부팅 하여 주시기 바랍니다."

            와 같으면 재부팅을 하여 주시면 됩니다.

     3-2 검사 종료시 메시지가

           "검사가 완료 되었습니다."

            와 같으면 해당 바이러스가 존재하지 않거나 실행되지 않은 상태입니다.

  4. 3-1에서 넘어온 경우 재부팅과 함께 Vscan.exe이 실행되며, 바이러스 감염 대상 폴더를 검사합니다.
  5. 검사 이후 "vcscan.log"를 확인하시면 됩니다.


 

 

[ Win32.HLLW.Shadow.based 정보 상세보기 ]