본문 바로가기
조치 가이드

Conficker 조치 가이드 (2)

by 비회원 2009.10.16
3.    Conficker 조치 방법
--------------------------------------------------------------


 

A.    수동 조치 방법(진단불가능)

* Win32/Conflicker.worm 변형 수동조치 법

 

[1] GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행합니다.

 

[2] GMER를 실행했을 때 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력됩니다. 붉은색으로 표시된 부분(svchost.exe hidden으로 표시) Value 항목에 위치한 값을 확인합니다. (여기서는 Remoteserv)



[3] 2번 과정에서 이미 붉은색으로 확인된 내용이 존재하므로, 아니오를 선택합니다.(‘를 선택할 경우 Full Scan을 시작하며 많은 시간이 소모됩니다.) 물론 은폐형 파일이라고 해서 모두 악성은 아니며 아래 경우와 동일한 경우에만 수동조치가 필요합니다.

 

[4] >>> 탭을 클릭하면 숨어있던 탭이 보이게 됩니다.

 


[5] Registry 을 클릭한 후, 아래의 경로를 따라 Services 항목의 하위 키값를 확인합니다.



[6] 2번에서 확인된 Value값과 동일한 서비스명을 찾아 하위 Parameter 위치로 이동합니다.(마찬가지로 해당 키 값도 붉은색으로 표시됩니다.)




[7] ServiceDLL 더블클릭하여 의심파일의 위치를 확인합니다.



[8] 의심파일명과 경로가 확인한 후, ‘Files’ 탭에서 "%SYSTEM%\[랜덤 파일명].dll"클릭하고(여기서는 C:\WINDOWS\System32\ilfakut.dll) Kill을 선택 후, Copy를 클릭하여 임의의 폴더에 복사하고 해당 파일은 Delete를 클릭하여 삭제합니다.



[9] 레지스트리는 [시작] – [실행] 에서 regedit 또는 regedt32 를 실행하여 레지스트리를 찾아 권한 부여(로그인 계정) 후 삭제합니다.




[10] 끝으로 Win32/Conflicker.worm에 감염됐을 때 인터넷이 안 되는 이유는 감염 시스템에서 다른 MS08-067취약점이 존재하는 시스템을 찾는 과정에서 랜덤한 TCP 445포트로 트래픽을 발생하여 윈도우 TCP/IP버퍼를 다 소모하므로 인터넷이나 네트워크가 안될 가능성이 존재합니다.

따라서 위와 같이 조치한 후 반드시 재 부팅이 필요합니다.


B.    엔진 추가 후 조치 방법: 제품 + 전용백신(진단가능 혹은 엔진 포함 후)

- FirstBlock 설치 대상 : V3 2004, V3 365, V3 lite, V3Net 6.0 사용 고객

MS08-067 취약점은 V3 IS 2007, V3 IS 2008, V3 Net 7.0 에 차단룰 모두 적용되어 있으며, 해당 제품 이외의 제품(V3 2004, V3 365, V3 lite, V3Net 6.0 )을 사용할 경우 FirstBlock을 설치하여 추가적인 감염을 예방해야 한다.

- 엔진 업데이트 후 치료 방법 (이미 감염된 상태)

[V3 IS 2007 이하의 제품]

진단/치료가 불가하며 전용백신을 통해 치료해야 한다.

(전용백신을 통해 치료하더라도 감염 쓰레드 종료가 되지 않기 때문에, 재부팅 후 치료가 완료된다.)

APC 사용하는 기업의 경우, Silence 모드로 동작하는 Conficker 전용백신을 배포 조치를 안내한다.

[V3 Internet Security 8.0]

재부팅 없이 진단/치료가 가능하다. (전용백신 불필요)

따라서, V3 IS 8.0으로의 제품 업데이트가 시급함.

 

C.      예방 방법

- MS08-067 보안패치 설치

- 취약하지 않은 암호 사용(영문/숫자/특수문자 조합으로 8자리 이상)

** 주의사항 : 취약하지 않은 암호를 사용하더라도, 감염된 시스템과 동일한 계정, 암호를 사용할 경우 감염될 수 있기 때문에 시스템에 대한 동일한 암호 적용을 지양함

- USB Guard 사용 (다운로드 경로 : http://www.ncsc.go.kr/data/usbguard.zip)

 

'조치 가이드' 카테고리의 다른 글

Rustock 조치 가이드 (2)  (2) 2009.10.28
Rustock 조치 가이드  (2) 2009.10.22
Conficker 조치 가이드 (2)  (3) 2009.10.16
Conficker 조치 가이드 (1)  (2) 2009.10.13
Total Security 조치 가이드  (49) 2009.09.29
_Restore 폴더 치료 불가에 대한 조치 방법  (0) 2009.09.26

댓글3

  • 요시 2009.10.16 17:28

    조심하고 또 조심해야겠어요^^;;ㅎㅎㅎ
    답글

  • ㅠㅠㅠ 2010.08.25 18:49

    ㅠㅠ경로 확인후 files탭에서 파일을 확인하는데 없습니다....ㅠ
    그래서 이전에 first block을 실행해서 치료를 누른적이있어서 그런가보다해서
    regedit실행한다음에 레지스트리 권한부여까지다하고 지우려하니까
    키를 지울수 없습니다. 키를 지우는동안 오류가 발생했습니다 라고 뜨네요
    ㅠㅠㅜㅠㅜㅜ 어뜩하죠 ㅠㅜㅠ
    답글

  • .. 2011.07.23 13:23

    파일탭에 경로 가봐도 없고
    레지스트리 지우려 하니까 키를 지울수 없다고 떠요
    답글