3.    Conficker 조치 방법
--------------------------------------------------------------


 

A.    수동 조치 방법(진단불가능)

* Win32/Conflicker.worm 변형 수동조치 법

 

[1] GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행합니다.

 

[2] GMER를 실행했을 때 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력됩니다. 붉은색으로 표시된 부분(svchost.exe hidden으로 표시) Value 항목에 위치한 값을 확인합니다. (여기서는 Remoteserv)



[3] 2번 과정에서 이미 붉은색으로 확인된 내용이 존재하므로, 아니오를 선택합니다.(‘를 선택할 경우 Full Scan을 시작하며 많은 시간이 소모됩니다.) 물론 은폐형 파일이라고 해서 모두 악성은 아니며 아래 경우와 동일한 경우에만 수동조치가 필요합니다.

 

[4] >>> 탭을 클릭하면 숨어있던 탭이 보이게 됩니다.

 


[5] Registry 을 클릭한 후, 아래의 경로를 따라 Services 항목의 하위 키값를 확인합니다.



[6] 2번에서 확인된 Value값과 동일한 서비스명을 찾아 하위 Parameter 위치로 이동합니다.(마찬가지로 해당 키 값도 붉은색으로 표시됩니다.)




[7] ServiceDLL 더블클릭하여 의심파일의 위치를 확인합니다.



[8] 의심파일명과 경로가 확인한 후, ‘Files’ 탭에서 "%SYSTEM%\[랜덤 파일명].dll"클릭하고(여기서는 C:\WINDOWS\System32\ilfakut.dll) Kill을 선택 후, Copy를 클릭하여 임의의 폴더에 복사하고 해당 파일은 Delete를 클릭하여 삭제합니다.



[9] 레지스트리는 [시작] – [실행] 에서 regedit 또는 regedt32 를 실행하여 레지스트리를 찾아 권한 부여(로그인 계정) 후 삭제합니다.




[10] 끝으로 Win32/Conflicker.worm에 감염됐을 때 인터넷이 안 되는 이유는 감염 시스템에서 다른 MS08-067취약점이 존재하는 시스템을 찾는 과정에서 랜덤한 TCP 445포트로 트래픽을 발생하여 윈도우 TCP/IP버퍼를 다 소모하므로 인터넷이나 네트워크가 안될 가능성이 존재합니다.

따라서 위와 같이 조치한 후 반드시 재 부팅이 필요합니다.


B.    엔진 추가 후 조치 방법: 제품 + 전용백신(진단가능 혹은 엔진 포함 후)

- FirstBlock 설치 대상 : V3 2004, V3 365, V3 lite, V3Net 6.0 사용 고객

MS08-067 취약점은 V3 IS 2007, V3 IS 2008, V3 Net 7.0 에 차단룰 모두 적용되어 있으며, 해당 제품 이외의 제품(V3 2004, V3 365, V3 lite, V3Net 6.0 )을 사용할 경우 FirstBlock을 설치하여 추가적인 감염을 예방해야 한다.

- 엔진 업데이트 후 치료 방법 (이미 감염된 상태)

[V3 IS 2007 이하의 제품]

진단/치료가 불가하며 전용백신을 통해 치료해야 한다.

(전용백신을 통해 치료하더라도 감염 쓰레드 종료가 되지 않기 때문에, 재부팅 후 치료가 완료된다.)

APC 사용하는 기업의 경우, Silence 모드로 동작하는 Conficker 전용백신을 배포 조치를 안내한다.

[V3 Internet Security 8.0]

재부팅 없이 진단/치료가 가능하다. (전용백신 불필요)

따라서, V3 IS 8.0으로의 제품 업데이트가 시급함.

 

C.      예방 방법

- MS08-067 보안패치 설치

- 취약하지 않은 암호 사용(영문/숫자/특수문자 조합으로 8자리 이상)

** 주의사항 : 취약하지 않은 암호를 사용하더라도, 감염된 시스템과 동일한 계정, 암호를 사용할 경우 감염될 수 있기 때문에 시스템에 대한 동일한 암호 적용을 지양함

- USB Guard 사용 (다운로드 경로 : http://www.ncsc.go.kr/data/usbguard.zip)

 

Posted by 비회원