네트워크 트래픽 유발 Win32/Palevo.worm 조치가이드 Posted By ASEC , 2009년 9월 22일 1. 개 요 Win32/Palevo.worm(원본파일명 ; sysdate.exe) 악성코드 관련하여 UDP/5907, UDP/80 등 다수 트래픽을 유발하는 현상이 발생하여 긴급 조치를 위한 가이드를 작성/배포합니다. [그림 1. 관련 트래픽 차단 현황] 2. 주요 증상 주요증상은 다음과 같습니다. 1) 시스템 루트RECYCLERs-1-5-21-[숫자]에 sysdate.exe, Desktop.ini 파일을 생성. 2) 레지스트리 추가를 통해 시작프로그램에 등록. HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonTaskman “C:RECYCLERS-1-5-21-[숫자]sysdate.exe” HKEY_USERSS-1-5-21-[숫자]SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell explorer.exe,C:RECYCLERS-1-5-21-[숫자]sysdate.exe 3) 외부 사이트 접속시도 b***erfly.***Money.biz 9*.9.1*0.**3 bu****fly.s***p.es 8*.1*6.1**.7* q***asdfg.sinip.es 7*.2**.1*2.1*2 unk****.w* 7*.*0.2*.1** 3. 증상 발생 시 조치방법 1) 긴급 수동조치 추가 감염을 예방하기 위해 시스템루트RECYCLER 폴더 이하에 생성된 sysdate.exe 파일을 삭제 합니다. 삭제하는 방법은 아래와 같습니다. 먼저 Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다. 다운로드 : http://asec001.v3webhard.com/IceSword.zip 다운로드 받은 프로그램을 실행하면 위와 같은 프로그램이 실행이 됩니다. 이제 해당 파일을 삭제하기 위해 File 탭으로…
