Rustock 조치 가이드

1. 증상 및 진단 확인
-----------------------------------------------------------------

  1) 방화벽 등의 보안장비에서 Remote 25번 포트로 트래픽을 발생시키는 시스템을 찾는다.
  2) 감염이 의심되는 시스템에서 [시작] – [실행]에서 cmd.exe 를 실행 후, netstat –ano
      명령으로 네트워크 연결을 확인한다. Rustock에 감염된 시스템은 Remote TCP 25번
      포트로 SYN_SENT 증상을 발생시킨다.

아래와 같이 Ahnreport의 ‘네트워크 연결’ 항목에서도 확인이 가능하다.

2. 증상 발생 시 조치방법 I : 제품
-----------------------------------------------------------------

  제품에서 진단되는 경우 아래 과정으로 조치 수행해야 하며, 두 항목을 함께 진행할 것을
  권고함

  1) 만일, V3제품으로 진단되는 내용이 없을 경우, 정상모드로 부팅하여 안철수연구소
      홈페이지를 통해 Rustock 전용백신으로 다운로드 받아 진단/치료를 수행한다.
      (전용백신 다운로드 경로 : http://download.ahnlab.com/vaccine/v3rustock_gen.exe)
  2) Rustock의 경우, 진단 무력화 기법을 사용하기 때문에 시스템을 안전모드(네트워크
     지원)로 부팅하여 설치된 V3제품으로 수동검사를 통한 시스템 전체 검사를 수행한다.